Не нашел здесь инфы об этой бирже.

Вчера зарегался, чтобы продать там несколько своих шитков. КYC понятно проходить не желаю  поэтому возник сразу вопрос по поводу  возможности вывода без прохождения этой процедуры. Обычно принято давать такую информацию  прямо в аккаунте, но на Probit  этого нет.  На странице поддержки говорится

"Вы все ещё можете вносить и выводить средста (за исключением KRW) и торговать без прохождения KYC."

Смущает, что это слова 4-х месячной давности. За это время все могло поменяться. Хотелось бы услышать ответ из первых уст,  от тех , кто пользуется этой биржей. Да и  вообще интересуют все "прелести" этой биржи  -  ее  поддержка, кидалово и прочее.

At long last Visa made up its mind of stablecoins. Quoting Al Kelly, Visa CEO:

"Our strategy here is to work with wallets and exchanges to enable users to purchase these currencies using their Visa credentials or to cash out onto our Visa credential to make a fiat purchase at any of the 70 million merchants where Visa is accepted globally."

I had foreseen  something like this is coming but what is not clear for me is that  on which  staiblecoins  will be in their focus first. It is hard to expect from them  "to cover everything under the sun". Which  stablecoins to buy....any thought?

Пользователь achow101   из числа персонала форума и одновременно разработчиков Bitcoin Core  инициализировал  опрос по этому кошельку и одноименной ноде (см его тему  https://bitcointalk.org/index.php?topic=5310781.0)

Вопросник размещается   по этой ссылке   https://survey.alchemer.com/s3/6081474/8acd79087feb

Подробное описание опроса можно найти здесь https://achow101.com/2021/01/bitcoin-core-survey

Очень кратко  без воды:

Цель опроса узнать почему  и как используется  этот кошелек, узнать о его затребованных  свойствах.

Гарантирована полная конфиденциальность при опросе – ни каких IP,  можно все делать с использованием TOR. Те вопросы, которые требуют конфиденциальной информации ( типа электронной почты, страны, источника информации об опросе) можно опускать.

Вопросы разбиты по следующим группам.

1.Скрининговые вопросы:
2. Вопросы тем, у кого Bitcoin Core нода функционирует в текущий момент. (Имеется в виду полная нода, т.е. открыт для входящих соединений  8333 порт)
3. Вопросы тем, у кого она функционировала какое-то время, но потом была остановлена по какой-то причине.
4. Вопросы тем, кто использует только кошелек Bitcoin Core, но не полную ноду.
5. Вопросы тем, кто раньше использовал кошелек Bitcoin Core.
6. Вопросы тем, кто никогда не пользовался кошельком Bitcoin Core.
7. Вопросы тем, кто никогда не запускал полную ноду Bitcoin Core.


Если перейти по следующей ссылке https://achow101.com/2021/01/bitcoin-core-survey , то можно предварительно ознакомиться с содержанием этих вопросов на персональном сайте achow101. Зовите Google-сенсея на помощь, если что будет не понятно.

«Семь раз отмерь, один раз нажми  на кнопку отправить » - должно стать золотым  правилом для каждого биткойнера, независимо от того, алень ли  он или матерый пользователь, совершивший тысячи удачных транзакций. Это правило должно быть перед глазами у каждого. Можно написать его на огромном плакате и повесить перед собой.  Спешка ведет к невосполнимым потерям, потому что транзакцию, которая оказалась в блоке, нельзя повернуть вспять.

Если заплатите 82 082 баксов за транзакцию на сумму 1,18 доллара то в жопе не хватит волос.

https://u.today/someone-just-paid-whopping-82k-to-send-1-worth-of-bitcoin:

"An extremely unlucky Bitcoin user has just thrown away 3.49 BTC ($82,082 at the time of writing) on a 0.00005000 BTC ( $1.18) transaction in block 662052.   "

Самая большая ошибка, которуя я допустил, это обналичивание на карточку, срок действия которой  истек год назад. Я потерял тогда около 150 баксов. Рукой резко вниз, сказав при этом херсними, и забыл. Но 82 килобакса думаю не забудешь.

Ваши самые  большие ошибки?

"Think twice before finalizing transaction by pressing send" have to be  the rule for every bitcoiner, no matter if he is a beginner or more experienced.  Write it on paper in bold capital and keep in front of you when working with crypto. Rush leads to irreparable losses. Once in block the  transaction can't be turned the other way. Another unfortunate user payed $82,082 fee for $1.18 worth transaction.

If you pay $ 82,082 for a $ 1.18 transaction, there won't be enough hair in your ass.

https://u.today/someone-just-paid-whopping-82k-to-send-1-worth-of-bitcoin

"An extremely unlucky Bitcoin user has just thrown away 3.49 BTC ($82,082 at the time of writing) on a 0.00005000 BTC ( $1.18) transaction in block 662052.   "

Celebrity rapper Megan Jovon Ruth Pete aka Megan Thee Stallion tweeted about giving away of one million bucks worth of bitcoins to celebrate her successes. I'm not a fan of the rep, but I like the trend. If celebrities get involved into bitcoin's advertisement, then those who up to now stood on the sidelines watching developments or haven't heard about bitcoin at all would also be able to build our ranks.


I must admit that I didn't follow the celebrities up to now, I know that there are big holders among them, but I never heard of free giveaway from them. Is this  the first action of that kind or there were others?


https://twitter.com/theestallion

Знаменитая реперша Megan Jovon Ruth Pete известная как Megan Thee Stallion затвитела о раздаче биткойнов на сумму в  один миллион баксов чтобы  отметить свои успехи. Я не поклонник репа, но тенденция мне нравится. Если  к рекламе биткоина подключатся  знаменитости, то на него  смогут обратить внимание и те, кто до  сих пор стоял в  сторонке, наблюдая за равзвитием событий, или вовсе не слышал о биткоине.


Признаюсь я не следил за знаменитостями до сих пор, знаю что среди них есть крупные холдеры, но чтобы была шаровая раздача от них  не слышал,  моему это первая акция такого рода или были еще?

https://twitter.com/theestallion

Will this become a reality? And if something happens then, an end to confidentiality? "Last week we heard rumors that the U.S. Treasury and Secretary Mnuchin were planning to rush out some new regulation regarding self-hosted crypto wallets before the end of his term."

Would you disclose your wallets if such legislation came into force? Which countermeasures can be taken from Bitcoiners part? Any thought on that.

Never thought that could be  possible but currently hit my head against this  head-line   "Lithuanian tax office sells confiscated BTC.." . Article says there were much of similar  actions in various countries Romania, Australia, USA , etc.. I can understand that their legislation can have articles in  laws that allow to do it but don't understand how can it be done in practice? Any person can insists on losing private keys that give access to his bitcoins. Is there any efficient way to prevent yourself from such confiscation, if any?  Any thought on that?

DeFi лихорадка зацепила и меня. В прошедшее воскресенье наткнулся на форуме на  подписную кампанию SwapHub и, недолго думая, зарегистрировался и нацепил на себя их баннер. Отсчет следующей учитываемой недели начинался со следующего дня, было время задуматься о самом проекте и попытаться его проанализировать.

Начал с их сайта swaphub.finance  Первое, что бросилось в глаза это ляповатость  графики и всего дизайна. Ладно думаю, спишу на тенденцию – может сейчас тренд такой, о котором мне ничего не известно. Но дальше, что хуже для них, решил посмотреть на их сертификат:

Выдан 8 сентября 2020 и действителен  до 7 декабря 2020, всего три месяца? Ну явно не в их пользу. А кто же выдал? Ага, получен на letsencrypt – сервисе, который выдает сертификаты безплатно. Для сравнения сравним с серификатом  Uniswap ( почему именно Uniswap станет ясно дальше). Выдан Аmazon на целый год  и действителен  до июля 2021.

А где же сам swaphub сервер? Найти его особого труда не составило, так как оказалось что он орендован на Alibaba Cloud.  Ну ладно там AWS здесь Alibaba, китайцам, или кто там запустил SwapHub, виднее. Проверю ка что за сервер, сначала на скорость.

Полная загрузка сайта при соединении с Германии заняла 3 сек и это в три раза больше, чем Uniswap. SwapHub задушила жаба. За более широкий канал нужно больше платить. Более полная проверка показала отсутствие WAF, защиты от XSS и другие "мелочи", которые делают уязвимым сам сервер. Вывод: или дилетанты или им все это нужно на короткий период.

Посмотрим, что они сами заявляют о своём проекте.

https://medium.com/@swaphub/about-swaphub-49c45ba60e8d

Ага,  так у них еще ничего нет. Они только обещают в течении шести месяцев создать что-то наподобие  Uniswap, причем даже улучшить последний,  следующие поколение DEX и другое бла-бла-бла. А как же сертификат на 3 месяца?

На этом можно было бы останавливаться, но для  полноты картины решил взглянуть на  их смарт контракт.  Ничего большего, чем сшитые куски кода, взятого с Uniswap и SushiSwap  в  их чудо контракте не нашел, к тому же сам контракт содержит функционал, дающий возможность осуществить “exit scam”.

Я уже не молодой и очень осторожный человек. Поэтому баннер SwapHub с себя снял. Время рассудит был ли я прав в этом моменте.

To address  CoinJoin denial of service  vulnerability  found by  Ondřej Vejpustek from TREZOR team Wasabi Backend (coordinator) has been  updated  to v 4.O and deployed today, Sept. 3rd, 2020. It requires a mandatory update for all users who  didn't update their clients to  v1.1.12 as hard fork breaks  compatibility of their software with coordinator.

Before the v4 Hard Fork, an attacker could have exploited the vulnerability to perform a DoS (denial-of-service) attack, in such a way that it was difficult to identify the attacker itself. Denial of Service means that the attacker would halt the entire CoinJoin process for all other participants and Wasabi rounds would no longer work.

The latest v1.1.12 client has already took the full advantage of v.4.0 hard fork. Keep reading.

[Watch your wallets and buy them only from trusted sources.]

As discovered by Kraken Security Labs the current design of Ledger nano X makes this wallet vulnerable to supply chain attacks which  are attributable to JTAG interface  left enabled on the STM32WB55. Two flavors  of attack on that processor  are possible. The first scenario  is based on the microcode modification as a result of which the device starts to behave  "like a keyboard, that can then send malicious keystrokes to the user’s host computer." The second attack vector is targeting Ledger's display, again via malicious  code implemented into STM32WB55. "This might be leveraged as part of an elaborate social engineering attack where the infected Ledger Nano X shuts off its display while malware on a computer convinces the user to press a series of buttons to approve a malicious transaction".

Watch your wallets and buy them only from trusted sources.

Latest Bitcoin Core Code Release Protects Against Nation-State Attacks, written by William Foxley

(Перевод C-C)

Основной  посыл:

• В среду был выпущен 20-й релиз Bitcoin Core, программного обеспечения с открытым исходным кодом, обеспечивающего работу блокчейна Bitcoin.
  
• Для защиты от теоретической атаки «Erebus» он включает в себя экспериментальное программный  код (заплатка)  под названием «Asmap»
• Атака Erebus позволяет государствам и / или крупным интернет-провайдерам, таким как Amazon Web Services, шпионить, осуществлять двойную трату  или подвергать цензуре транзакции в биткойнах.
  
• Заплатка поможет предотвратить атаку, но не является окончательным решением.
  

   
  
В среду (С-С: 03.06.2020) команда Bitcoin Core выпустила  новое обновление программного обеспечения биткоина, Bitcoin Core 0.20.0. В частности, релиз включает в себя экспериментальную программную заплатку для защиты от атак со стороны крупномасштабных игроков размером с национальное  государство, которые могут эффективно разрушать сеть биткоин.

Называемая «Asmap», новая конфигурация защищает пиринговую  архитектуру  bitcoin, путем отображения  соединений с 1-м или более высоким  2-м уровнем   Автономных Систем  (AS) - интернет-операторов, способных подключаться к нескольким сетям с четко очерченной маршрутизацией, например таким как  Amazon Web Services или государственым, - а затем "ограничивать соединения любого  (С_С: узла) до полной изоляции[AS]".

По сути, так называемая атака «Erebus» позволяет AS подвергать цензуре большие участки сети Биткойн путем ограничения и последующей подмены одноранговых (P2P) соединений. Неспособность устранить недостаток может привести к крайне нежелательным последствиям для биткоина, например крупный майнинг-пул или биржа могут стать  отрезанными от остальной части сети.


Атака Эребуса впервые была описана исследователями Национального университета Сингапура (NUS) - Муой  Muoi Tran, Inho Choi, Gi Jun Moon, Anh V. Vu and Min Suk Kang, - соавторов статьи от   2019 годаподробно описывающей эту атаку.
Кикер? (C-C: kicker-   кикер - это профессиональный сленг игроков в покер, который обозначает дополнительную карту) Его невозможно обнаружить до тех пор, пока это уже будет слишком поздно.

Erebus подпадает под общую схему атаки типа  “man-in-middle” (С-С: схема, когда взломщик, подключается к каналу связи между контрагентами) , которая стала возможной благодаря P2P-природе bitcoin. "Erebus ",означающий в греческом  тень,  сам по себе является производной от атаки "Ecllipse", впервые описанной в 2015 году.

Согласно теории, злоумышленник попытается подключиться к как можно большему количеству узлов вокруг одного атакуемого узла, который злоумышленник хочет изолировать (например, от узла обмена). Вредоносный узел может начать влиять на узел-жертву, подключившись к его пирам. Конечная цель - сделать так, чтобы восемь внешних подключений узла-жертвы проходили через злоумышленника.

осле этого жертва изолируется от остальной части сети. Злоумышленник может решить, какие транзакции и информация отправляются жертве; эта информация может полностью отличаться от остальной части сети и даже может привести к разрыву цепи или цензуре.



"Наша атака возможна не из-за новых ошибок в реализации ядра Bitcoin, а из-за фундаментального топологического преимущества злоумышленника в сети", - написали исследователи  NUS в 2019 году. "То есть наш злоумышленник EREBUS AS, будучи стабильным “man-in-middle” в сети  может надежно использовать большое количество сетевых адресов в течение длительного периода времени. Более того, AS может нацеливаться на конкретные узлы, такие как майнинговые пулы или биржи".

Если узел биржи  или пула подвергся затенению, AS может эффективно отрезать объект от подключения к сети. Атака в стиле Erebus была бы ещё более разрушительной, если бы продолжалась централизация биткоин-майнинга в майнинг-пулах.

Что касается биткоинов. В настоящее время уязвимы 10 000 узлов, и исследователи оценили, что для успешного выполнения трюка  соответствующей атаки необходимо  от пяти до шести недель. По словам разработчика Bitcoin Core  Luke Dashjr сеть биткоин очерчена нижней границей в 11 000 прослушивающих узлов и верхней границей в 100 000 не прослушивающих или «приватных» узлов.
По состоянию на среду, защита от  атаки теперь встроено в 20-ю версию кода, что делает зарождающуюся денежную систему ещё более цензуро- устойчивой.

Erebus  и интернет

Атака Erebus ни в коей мере не является ошибкой Сатоши Накамото -псевдоним создателя биткоинов. Просто так развивался интернет.

"Мы решаем проблему не вашего интернет-провайдера, а какого-то интернет-провайдера в мире, который трахает вас, потому что это  гораздо опаснее", - говорит исследователь Chaincode Labs и соучастник  Bitcoin Core Глеб Науменко.

Являясь центральным элементом (С-С: a hub and spoke) национальные государства и крупные интернет-провайдеры контролируют доступ к интернету. Сети далее разбиваются на отдельные IP-адреса, как например для телефона, на котором вы, вероятно, это читаете.

Узлы Bitcoin работают одинаково, каждый узел имеет свой собственный IP-адрес, если только он не скрыт с помощью Tor или другого метода обфускации. Как только узел решает пройти через вредоносный узел, AS может решать для данного конкретного соединения, как этот узел должен подключаться к остальной части сети.

Когда биткоин-узел подключается к сети, он обычно устанавливает восемь исходящих соединений. Это  означает, что он будет транслировать транзакцию на восемь других узлов. Медленно, но верно каждый узел в сети биткоин подтверждает и записывает (если она действительна) транзакцию, выполненную другим узлом,. В Erebus, если AS успешно захватывает все восемь внешних соединений узла, узел служит прихоти AS.

Атака состоит из двух частей: разведки и исполнение.

Во-первых, AS определяет IP-адреса узлов в сети, отмечая, где их можно найти и к каким пирам они подключены. Затем AS начинает медленно влиять на наблюдаемые пиры. ругими словами, злоумышленник работает над тем, чтобы принимать исключительно на себя  подключения от максимально возможного числа узлов в своем окружении.

Количество подключений зависит от мотивации злоумышленника: цензура отдельных транзакций, блокирование off-chain  транзакций (например, в  сети Lightning ), эгоистичный майнинг в  расщепленной цепи сети для получения большего процента вознаграждений от нахождения блока, или даже запуск  атаки 51-% с целью осуществления двойной траты.Чем больше узлов контролируется злоумышленником, тем больший ущерб он может нанести сети. На самом деле, имея достаточное количество соединений  и контролируя большие участки сети, он может  сделать ее недееспособной, говорит команда NUS.

«Мощный злоумышленник, такой как злоумышленник на масштаба целого государства, может даже попытаться разрушить большую часть базовой одноранговой сети криптовалюты. В небольшом масштабе противник может произвольно подвергать цензуре транзакции жертвы », - пишут исследователи.

Скрытый режим

В отличие от Eclipse атаки,  Erebus - невидимка.

"Разница такая , что то что,  они делают, не обнаруживается - на самом деле не остается  никаких доказательств. Это похоже на обычное поведение", - сказал Науменко об AS, провоцирующей атаку.

Интернет состоит из различных уровней данных. Некоторые из них раскрывают информацию, некоторые - нет, а некоторые содержат слишком много информации, чтобы ее можно было отследить.

В Eclipse злоумышленник использует информацию с уровня интернет-протокола, в то время как Erebus использует информацию с уровня протокола bitcoin.  Маршрут Eclipse "сразу же раскрывает" личность злоумышленника, говорят исследователи. И наоборот, Erebus это не раскрывает, что делает невозможным его обнаружение до тех пор, пока не будет совершена атака.

В то время как угроза  действует до тех пор, пока существует текущий интернет-стек, остаются возможности для предотвращения потенциальной атаки злоумышленника. Обновления среды возглавлял  Pieter Wuille, соучредитель и инженер Blockstream, и Naumenko из Chaincode.


Решение от команды Bitcoin Core делает атаку маловероятной, добавляя дополнительные препятствия для изоляции узлов от остальной части сети, но оно может быть временным.

«Этот вариант является экспериментальным и может быть удален или подвергнут критическим изменениям в будущих релизах», - заявил в электронном письме, датированном средой, один из разработчиков  Bitcoin Core,  Wladimir J. van der Laan .

Naumenko сказал, что они решили заняться проблемой из-за явной опасности для сети. Атака также была новизной для него, что вызвало его личный интерес.

Но это не просто биткоин. Как отметил Науменко, почти всем криптовалютам угрожает атака Erebus. Статья NUS цитирует DASH, LTC и zcash (ZEC) в качестве примеров других монет, которым грозит подобная атака.

"Это фундаментальная проблема, и протоколы очень похожи. Это системно. Это не какая-то ошибка, в которой вы забыли обновить переменную", - говорит Науменко из Chaincode. "Это одноранговая архитектура и [касается] всех систем".

Blockchain Was Born 20 Years Before Bitcoin, written by Vipin Bharathan, Forbes

(Перевод C-C )

30 мая 2020 года Скотт Сторнетта (Scott Stornetta) выступил с презентацией,  которая курировалась правительственной блокчейн-ассоциацией ОАЭ. Рождение блокчейна и  являлось одной из многих обсуждаемых им тем. Следует отметить, что в своем техническом описании биткоина от 2009 года Сатоши Накамото ссылался на три работы Скотта Сторнетты и Стюарта Хабера (Stuart Haber)  и, следовательно, были предположения, что  Скотт Сторнетта является тем самым Сатоши Накомото. Как бы то ни было, но  он отрицал это на своем родном японском языке.



В конце 80-х годов Сторнетта присоединился к легендарным лабораториям Bell.Он приехал с Западного побережья, где работал в Xerox XRX, еще одном очаге инноваций. Когда он пришел в Bell labs, Сторнетта уже трудился над нерешенной задачей - Сторнетта стал свидетелем скандала, возникшего из-за опубликованного кем-то  несусветного результата; обычно такие результаты возникают из-за манипуляций, что и было доказано  при изучении некоторых лабораторных журналов, в которых оригинальные результаты были изменены чернилами, которые отличались от использованных изначально . Записи должны бы быть  цифровыми - Сторнетта услышал это и  он стал задумываться  о будущем ведении записей, так как он также знал, что цифровые записи могут быть легко изменены.

Проблема неизменности цифровых записей стала миссией Сторнетта.  ОН получил образование физика-теоретика и не был непосредственным специалистом в области цифровых документов или криптографии, но продолжал  интересоваться этими областями.

И  Xerox и Bell поощряли работу над нерешенными задачами. Вы могли работать над чем угодно, как только заявили о существующей проблеме. Над вами не было ни одного  менеджера, как и  не было и срока для конечного результата. Преимущество такой среды заключается в том, что она объединяет блестящих людей из разных дисциплин и побуждает открытое сотрудничество. В этих двух очагах  родились многие легендарные и изменившие  мир продукты.

В Bell Labs Сторнетта встретил Хабера, криптографа. Сторнетта убедил Хабера, что неизменность цифровых записей - это проблема, над которой стоит поработать. Их первоначальное решение было основано на хэш-функциях и цифровых сертификатах. Документ должен бы сокращаться до хеша. Хэш - это хорошо понятная и широко используемая концепция  криптографии. Дайджест или хэш сообщения - это фиксированной длины результат (обычно всего в несколько байтов), полученный из документов различной длины. Хэш изменяется даже при изменении одного бита исходного документа. Клиент, который хотел бы поставить метку времени, отправлял бы хэш, (а не  сам документ) службе Time Stamping Service  (TSS, С-С: служба присвоения временных меток), а та в свою очередь   пометила бы его  временнОй  меткой и заверила его. Эта идея получила дополнительное развитие в первой опубликованной ими статье, где цепочка документов, привносящая временнУю последовательность описана  в разделе, озаглавленном «связывание». Это цепочка, обладающая  потенциалом  связывания  документов в одно целое, за счет того, что в сертификате каждого документа содержалась бы ссылка на предыдущий документ в искомой последовательности.

Служба TSS является единственным очевидцем отметки времени, она открыта для подрывной деятельности, будь то коррупция или мошенничество. Они отчаянно пытались найти решение для снятия доверия к одному свидетелю TSS. Хабер предложил начать писать статью без решения этой проблемы. По мере написания статьи они нашли способ распределить доверие путем  создания несколько сертификаторов с временнОй меткой. В таком подходе сертифицировали бы друг друга сами пользователи. Эта идея  находится в разделе, озаглавленном "Распределенное доверие". Создание децентрализованного доверия было на подходе.

Хэш-функции и подписи сами по себе не учитывают практических соображений. В статье Haber & Stornetta рассказали о двух случаях использования. В одном случае важна фактическая временная метка документа, в другом - целостность и устойчивость к взлому оригинала документа. Первым случаем использования могла быть защита цифровых лабораторных ноутбуков для сохранения и удостоверения подлинности первенства открытий, например в патентах и тому подобное. Второй способ - это способ хеширования цифровых документов, которые обязано вести  любое предприятие, для того чтобы в последующих их предъявлениях могла быть обнаружена подделка, если она все же произошла.

Проблема доверия к очевидцу была решена ими практическим путем  за счет создания свидетеля еженедельного хэша, который не может быть низвергнут,  но они поставили  проблему с ног  на голову, и  привлекли весь  мир (в виде классифицированного объявления в New York Times)  в качестве свидетеля - NYT , раз в неделю  публикует суммарное значение  хэша за эту неделю. Они также ввели Merkle Tree в качестве криптографического аккумулятора, который является способом объединения хэшей  многих документов в корневой хэш., неизменный благодаря своей рекламе в классифицированном  разделе газеты "Sunday New York Times.". Такое решение представлено и ныне активной компанией Surety.com (запущена Stornetta и Haber, но они там больше не участвуют) как AbsoluteProof  процедура.

Первое решение проблемы создания неизменной и бесспорно связанной метки времени для серии цифровых документов, которую можно назвать блокчейном, существовало  уже в работе Сторнетты и Хабера, примерно за двадцать лет до появления Биткойна. Эта статья подстерегла гения Сатоши Накомото, чтобы спустя годы поднять ее на новую высоту. Как отмечает Сторнетта в своём выступлении, Bitcoin - это не просто произведение инженерной мысли, это также произведение искусства; благодаря созданию зарождающегося крипто-экономического стимула, использующего PoW. Мечта об универсальном и безукоризненном цифровом очевидце передачи ценностей положила начало целой революции блокчейна.

Сторнетта говорит, что сценарий использования метки времени  в цифровом документообороте  и целостности регулируемых корпоративных документов может быть решен более слажено за счет правильной реализации в блокчейне. Как подобает современной эпохе, он является советником фирмы VC, инвестирующей в блокчейн компании.

Когда его спросили, что бы он сказал Сатоши Накамото, если бы у него был шанс, Сторнетта ответил, что попросил бы Сатоши прочитать вторую статью. Вторая статья посвящена безопасным обновлениям, что является идеей управления, которая была неполным образом выражена в Bitcoin и создаёт много желчности и разделения в сообществе. Мы рассмотрим это в следующей статье по данной теме.

Kremlin sets to drop the hammer on illegal activities in cryptocurrency domain. Penalty as much as $28,000  and up to seven  years of confinement. https://btcmanager.com/russian-government-fines-imprisonment-illegal-crypto/?q=/russian-government-fines-imprisonment-illegal-crypto/&  Isn't it rather disproportionately severe punishment that might be established by the government of country where the majority of the population are the poor? What's you though?

[ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ]

Every Transaction Hash Protect
(перевод С-С)

«Наши адреса скомпрометированы ..»- вот что нам (С-С: повествование  ведется от лица сотрудников  etherscan.com) приходится часто слышать от наших клиентов. А затем приходится работать с заинтересованными сторонами, чтобы вручную идентифицировать и маркировать запятнанные адреса. Исходя из имеющегося  опыта, этот процесс может занимать от нескольких минут до, в крайних случаях, месяца активного отслеживания таких адресов.  

Благодаря этому опыту работы с бесчисленным количеством затронутых сторон мы начали изучать, как эффективно отслеживать испорченные адреса в режиме реального времени и помогать пострадавшим  пользователям и проектам. Мы узнали, что единого решения проблемы не существует ; это постоянно длящаяся  игра в кошки-мышки с плохими актерами , которые  вынуждены «отмывать» нечистые грязные средства (С-С: имеется ввиду крипта) через фиат.

Наше решение - ETHProtect

THProtect - это система обнаружения разработанная для пользователей Etherscan и  позволяющая определить, "запятнаны" ли входящие средства. Она позволяет отследить  такие активы вплоть до их источника.

Примеры источников запятнанных активов включают в себя:

• Фишинг
• Хакинг
• Скамы
• Подозрительное жульничество

Уникальным для нашего решения является механизм анализа ошибок Taint и его постоянно развивающиеся внутренние системы машинного обучения. Он изменяет параметры для отслеживания и определяет изапятнанные средства на основе каждого уникального сценария.

Как работает ETH Protect?
Растущая база данных

Etherscan ежедневно получает пользовательские отчеты о подозрительных мошеннических действиях, которые рецензируются и проверяются нашими аналитиками в области безопасности. После идентификации эти запятнанные адреса добавляются в нашу базу данных.

Пример:

Пример испорченного адреса можно найти на странице адреса, маркированного  мигающим значком «Красный щит», как показано на рисунке ниже.

Трассировка в реальном времени

Как только запятнанный адрес будет идентифицирован, любой перевод "плохих" средств из его источника отслеживается и выделяется до последнего блока. Трассировка никогда не бывает статичной; механизм постоянно отслеживает и идентифицирует любые новые запятнанныеадреса. Это помогает пользователям отслеживать поток запятнанных средств в режиме реального времени.

Пример:

Нажав на значок «Красный щит» на странице (С-C: etherscan.com ) адреса, пользователи смогут отследить запятнанные  средства вплоть до их источника, как показано на скриншоте ниже. Образец визуализации.

Вот так может выглядеть потенциально сомнительный след (С-С: транзакций), который отражает поток средств обратно к его источнику.

1. Точка «Старт» указывает на происхождение испорченных средств.
Здесь также указаны  первоначальный загрязняющий адрес   и источник соответствующего хэша транзакции.
2. В разделе 2, на рисунке (С-С: выше), показан поток денежных средств от исходного загрязняющего адреса до  соответствующего адреса, который он пачкает.
Адрес источника отражает адрес, из которому конечный адрес получил грязные средства.
Уровень глубины отражает количество адресов, через которые прошли грязные средства до того, как достигли конечного адреса заражения.
3. Конечный адрес заражения показывает адрес, который анализируется.
В ходе анализа идентифицируются номер блока, метка времени, хэш транзакции, адрес и сумма переведенных средств, которые привели к тому, что адрес был запятнан.

Таким образом ETH Protect отслеживает и показывает многоуровневый поток средств вплоть до  целевого адреса загрязнения.

Механизм анализа заражений

Поскольку адреса могут быть скомпрометированы при различных обстоятельствах, наш внутренний  механизм инференции( С-С: инференция - логическое умозаключение) загрязнения может изменять параметры и идентифицировать запятнанные  адреса для каждого уникального сценария.

Дополнительно это механизм укомплектован нашей off chain(C-C: безблокчейновой, внеблокчейновой)  базой данных  адресов, которая исключает общеизвестные адреса проектов, внесенных в белый список, из числа ложноположительных адресов, которые могут быть идентифицированы как ложное срабатывание.

ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ

Что мне делать, если мой адрес неверно запятнан?

Если вы считаете, что вас считают ложноположительным, свяжитесь с нами напрямую через нашу форму обратной связи. Наша команда поможет вам.

Почему ETHProtect?

В связи с увеличением числа скамов, хакерских атак и мошеннических действий мы стремимся выявлять потенциально запятнанные адреса и предоставлять эту информацию всем нашим конечным пользователям. Несмотря на то, что отслеживание загрязнения не является новым и широко используется крупными коммерческими организациями, такими как криптообменники и провайдеры, подобные услуги могут стоить тысячи долларов в месяц и даже выше и обычно не доступны для конечного пользователя или  проектов  c открытым исходным кодом.

Информация наделяет силой. Наша цель - предоставить нашим конечным пользователям больше информации о данных, чтобы они могли понимать и принимать обоснованные решения относительно  своих взаимодействий в крипте.

Если у вас есть какие-либо отзывы, вы можете оставить нам сообщение через нашу форму обратной связи.

Мы стремимся защитить пользователей и выявить потенциальные злонамеренные адреса , проверяя  каждый  хэш транзакции.

This is a matter of security and safety of your crypto, folks, and every one  obsessed with it is more than welcomed to this thread to share or gain experience on using HW keys designed for 2FA authentication. Mine is Yubico Yubikey 5 NFC. Both relevant documentation and howtos are very scattered, so let's start with that Yubikey.

To stay very brief, Yubikey 5 NFC is a small USB-A dongle, which also uses wireless NFC. The latter is important if you are in need for authentication on mobile devices. The key supports many relevant authentication protocols FIDO, FIDO2, U2F, OTP, TOTR, PIV, HOTP, TOTP, Challenge-responce, OpenPGP and encryption algorithms: RSA 4096, ECC p256, ECC p384.  Depending  on the usage, one can think of that dongle differently.

For example, one can view it as the key with an OTP interface and two programmable slots accessible through SW apps.

In the freshly bought Yubikey 5 slot 1 is preconfigured to use OTP to fit the authentication  solutions from Yubico - this is the so-called Yubico OTP, while slot 2 is empty and must be configured. Some resellers offer Yubikey VIP - for those keys, the 1st slot OTP is preconfigured to meet corresponding Symantec's products.  Both slots are configurable via  YubiKey Personalization Tool.  Using that, you can select and configure the protocol for yourself.

For example, slot 2 can be configured for static password - and this is very convenient when working with the password manager - you do not need to type something every time to approach your database and at the same time to worry about compromised computer (if any) . Or,  this static password can be used as the second part of the secret when entering any site. In this case, the first part (unique for each site) can be typed on the keyboard or copied from the password manager. With this approach, any keylogger  or malware potential to steal passwords from clipboard is no longer scary simply because they do not see the  second part of the secret, delivered via the YubiKey OTP interface.

You can also think of Yubikey  as of  FIDO certificated U2F dongle capable to serve to unlimited number of IDs.

In general, it’s convenient to imagine Yubikey 5 NFC as a HW-implemented authentication tools, each of which uses its own interface:

1) FIDO interface: FIDO 2, U2F, WebAuthn.

2) CCID interface: OATH (TOTP and HOTP, up to 32 ID), PIV (Smart Card, default PIN: 123456 PUK: 12345678), OpenPGP (RSA 1024, RSA 2048, RSA 3072, RSA 4096)

3) OTP interface: Static Password, Challenge-Response or OATH-HOTP.

To get authentication via Yubikey 5 NFC, just touch its gilded disk. The duration of the touch depends on which slot you need to activate. If this is slot 1, then the touch  should should last as short as 0.3-1.5 sec. If slot 2, then hold a little longer - 2 - 5 sec.

Specification: https://support.yubico.com/support/solutions/articles/15000014174--yubikey-5-nfc

[Камагредеши:]

Приглашаю  в эту тему для обмена  опытом использования  аппаратных ключей, или как их еще называют токенов,  для 2FA авторизации. У меня Yubico Yubikey 5 NFC. Документация по нему(и сведения о том, как его использовать),  очень разрознены и разбросаны, поэтому начнем с него.

Если оставаться очень кратким, то Yubikey 5 NFC это небольшой, размером с флешку и на  нее внешне похожий, USB ключ, который к тому же использует протокол NFC. Последнее важно если нужна  авторизация через мобильные устройства. Ключ поддерживает множество актуальных протоколов авторизации FIDO, FIDO2, U2F, OTP , ТОТР, PIV, HOTP, TOTP, Challenge-responce, OpenPGP и алгоритмов шифрования: RSA 4096, ECC p256, ECC p384, и в  зависимости от его использования можно по разному представлять себе этот ключ.

Можно например   думать о нем, как о ключе с OTP интерфейсом и имеющем две програмируемые  части, доступные через программное приложение  и   обозначаемые в документации как slot 1 и slot 2.

В только что купленном свежем  Yubikey 5  slot 1 по дефолту сконфигурирован для использования OTP при работе с серверными решениями  авторизации от Yubico - это так называемое Yubico OTP, в то время как slot 2 необходимо конфигурировать. Некоторые реселлеры  предлагают Yubikey VIP - у таких ключей OTP 1-го  слота сконфигурировано под соответствующие  решения от  Symantec.Слоты конфигурируются с помощью YubiKey Personalization Tool, в котором можно выбрать  и сконфигурировать под себя нужный протокол.


Например 2-й свободный слот можно сконфигурировать под свой  статический пароль - и это удобно при работе с менеджером паролей - не нужно каждый раз что-то набирать, чтобы подступиться к своей базе и к тому же быть  уверенным, что пароль не уйдет через скомпрометированный  компьютер. Или этот статический пароль можно использовать как  вторую часть  пароля , который требуется для входа на любой сайт. При этом первую часть (уникальную для каждого сайта)  можно набрать на клавиатуре  или скопипастить из менеджера паролей. При таком подходе любые килогеры или зловреды, которые воруют пароли из буфера обмена, уже не страшны , так как они не видят его вторую часть, поставляюмую через ОТP интерфейс YubiKey.

Можно также думать о дивайсе, как об аппаратном, имеющем сертификацию FIDO,  U2F ключе, который в состоянии хранить неограниченное количество ID.

  

Вообще удобно  представлять себе Yubikey 5 NFC как аппаратный набор трех групп приложений, каждое из которых для коммуникации использует свой интефейс:

1) Интерфейс FIDO:для авторизации используются  протоколы   FIDO 2, U2F, WebAuthn.

2) Интерфейс CCID: OATH (TOTP и HOTP, до 32 ID),  PIV (Smart Card, дефолтные PIN:123456 PUK:12345678), OpenPGP (RSA 1024, RSA 2048, RSA 3072, RSA 4096)

3) Интерфейс OTP: Static Password, Challenge-Response или OATH-HOTP .



Для авторизации с помощью Yubikey 5 NFC достаточно коснуться позолоченного диска на  его корпусе. При этом длительность касания зависит от того, какой слот нужно активировать. Если это слот 1 то она должна составлять 0.3-1.5 сек ( быть очень краткой). Если слот 2 то держать чуть дольше - 2 - 5 сек.



Спецификация: https://support.yubico.com/support/solutions/articles/15000014174--yubikey-5-nfc

Пожалуй пока все, так как автор устал.

Камагредеши:   практический опыт использованиях и  другое. Место под это зарезервировано.

What Is Entropy And How Do I Get More Of It? , written by Elliot Williams

(Перевод C-C )

Начнем пожалуй с одной наиболее любимой мною  цитаты Джона фон Неймана: «Любой, кто рассматривает арифметические методы получения случайных чисел, воистину грешник. Ибо, как уже несколько раз указывалось, случайного числа  не существует - есть только методы для получения случайных чисел.  Строгая арифметическая процедура, конечно, не является таким методом ».

Фон Нейман клонит к тому, что приставка «псевдо» для генератора псевдослучайных чисел (PRNG) близка к синониму  «ничуточки». Конечно, начиная с  середины хорошего ряда чисел PRNG, угадать следующее число практически невозможно. Но если затравочное число (СС: seed, затравка), которое запустило PRNG тебе известно или ты в состоянии его угадать , то  все прошлые и будущие значения  ряда высчитываются почти мгновенно; это чисто детерминистическая математическая функция. Это не должно восприниматься как разглагольствование против PRNG, а служить напоминанием о том, что когда ты им  пользуешься, выдаваемые им числа остаются непредсказуемыми только до тех пор, пока непредсказуем сам "seed". В отличие от  "непредсказуемости" энтропия является четко определенным математическим понятием.

Вот почему так важна энтропия. Почти для  всего, что хранится  в тайне на компьютере, требуется генерация секретного случайного числа. Любой ряд "случайных" чисел, который генерирует компьютер, будет иметь такое же количество энтропии, а значит и "непредсказуемости" , как и используемый "seed" . Так каким же образом  компьютер, эта детерминистическая машина, изначально берет энтропию для этого "seed"? И как  можно убедиться, что ее достаточно? А знаешь ли ты, что твой  Raspberry Pi можно превратить в мощный источник энтропии? Читаем дальше!

Все, что нужно знать об энтропии ...

Сначала, чтобы довести до сведения точку  зрения  (С-С: to hammer a point home)  фон Неймана, приведем алгоритм PRNG, который пройдет любой подключенный  статистический тест. Начни отсчет целых чисел c единицы. Захешируй это значение. Увеличь значение счетчика на 1, сцепи его значение с предыдущим хешем и захешируй опять полученную строку. И так  делай каждый раз. В результате получится хэш-цепочка, "случайный" ряд чисел, который полностью предсказуем - это и есть "псевдо" в PRNG. Если бы мне было известно, что ты поступаешь именно таким образом  и использовал пока только 100 или около того чисел, то  у меня не заняло бы много времени, чтобы сделать то же самое и выяснить место твоего нахождения в этом ряду. Мне было бы гораздо труднее взломать твой ряд, если бы я знал, что ты используешь тот же алгоритм, но начал вместо 1 где-то между 1 и 1 000 000.

Понятие энтропии Клода Шеннона по сути сводится к следующему: подсчитайте минимальное количество вопросов "да/нет", которые потребуются, чтобы разгадать твое, какое бы оно ни было  секретное число,. Энтропия равна логарифму по основанию 2 числа возможных начертанных  секретных чисел, или эквивалентна количеству цифр, которое потребуется для записи количества возможных секретных чисел в двоичном виде.

Допустим, ты начал счетчик с 1, и до сих пор использовал не более 128 значений. Тогда существует  только 128 возможных состояний, в которых может находиться твой  PRNG.  Для записи 128 в двоичном виде требуется семь бит (log₂ 128 = 7) , и если бы я начал задавать вопросы, я бы спросил сперва   не больше ли оно 64, а затем каждый раз делил бы оставшийся интервал. Тогда мне понадобилось бы всего семь догадок,  чтобы узнать текущее  значение твоего PRNG.

Энтропия - это мера числа возможных вариантов, из которых можно извлечь наш секретный параметр, и это способ измерить сложность угадывания и надежность паролей, и именно это имеется в виду, когда говорят, что какая-то процедура генерирует  «вроде как случайные», а не «совершенно случайные » числа. Случайное число от 1 до 1000000 имеет чуть менее 20 бит энтропии. (В английском языке около 1 000 000 слов - и тебе никогда не следует проигрывать, отвечая на «двадцать вопросов» иными словами использовать одно слово в качестве пароля.) Хороший долговременный  пароль, вероятно, должен содержать более 128 бит энтропии.

Быстрый тест: Верно ли, что если ты сгенерируешь 256-битное случайное число с помощью хорошего криптографического PRNG, оно будет иметь 256-бит энтропии? Нет, неверно! Если начальное число ты не выбрал случайным образом из 2^256 возможных вариантов, то твое сгенерированное  число будет иметь менее 256 бит энтропии. Итак, давайте произведем немного энтропии.

Омут энтропийного пула.

Включи компьютер или запусти микроконтроллер и задай себе вопрос - насколько неопределенно  состояние твоей системы. Она работает с тем же BIOS, что и при последней загрузке  и, вероятно, с той же ОС и обновленным кодом. Компьютер - это детерминированная машина, выполняющая предсказуемый код. Может существовать отличие с  временем настенных часов, что довольно легко угадывается..  Это означает, что самый надежный источник случайности существует между стулом и клавиатурой.  На это тебе укажет  любой сисадмин.

Любая система Linux, толи на одноплатном компьютере толи на высокопроизводительной рабочей станции, вытягивает энтропию из последних нескольких цифр в метке времени для прерываний, инициализируемых  клавиатурой, мышью, дисковым накопителем или другими аппаратными событиями. Если предположить, что ты не в состоянии нажимать на клавиши с точностью до микросекунды, то это (С-С: производство энтропии) вероятно, довольно случайно. Эти различные источники новых данных хешируются вместе со старыми данными, и количество энтропии в пуле слегка увеличивается с каждым событием.

Оценка того, сколько дополнительной энтропии каждый раз добавляется в ее пул  представляет  собой  граничащую  с невозможностью задачу. (С-С: иными словами оценить производство энтропии в выше рассматриваемых  процессах  практически невозможно.). Однако показано, что вклад (С-С:  в производство энтропии)   ядра Linux недооценен (кто-нибудь знает, с этим до сих все так и есть?).

Какова энтропия моего компьютера?

В любом случае, легко увидеть, сколько у тебя  энтропии, и наблюдая за ней  можно многому научиться. Набери cat / proc / sys / kernel / random / entropy_avail, чтобы увидеть, сколько бит энтропии хранит прямо сейчас твой компьютер. Если все в порядке, то это должно быть где-то около 3000, но ниже максимального значения в 4096 бит. Если ты  не собираешься генерировать длинные SSH-ключи, то все что больше, чем 256, скорее всего подойдет.

Теперь давайте посмотрим на накопление энтропии в реальном времени. Набери:

watch -n 1 cat /proc/sys/kernel/random/entropy_avail

чтобы каждую секунду оценивать  энтропию . Если  сначала ничего не делать, то можно заметить, что значение (С-С: энтропии) возрастает  очень медленно, если вообще растет. Вероятно, на игровом поле находятся процессы доступа к диску или другие системные прерывания. Теперь набери что-нибудь на клавиатуре  или подвигай  мышью и посмотри, как стали прыгать цифры. Например, в начале этого предложения у меня было 2886 бит, но теперь у меня 3078, только от его набора.
Давай посмотрим, сможем ли мы использовать часть этой энтропии. Первый и самый простой способ сжечь твой пул энтропии - просто сбросить все, что находится в / dev / random -  ядре генератора случайных чисел. Набери в другом окне терминала:

cat / dev / random> random_bits.bin или hexdump / dev / random

и наблюдай  за тем, как доступная энтропия опускается до нуля из-за вывода на терминал  случайных значений. Чтобы остановить это безумие нажми ctrl-C и понаблюдай  как перемещение мыши или набор текста на клавиатуре восстанавливают  энтропию. Так то!

Тебе, вероятно, никогда не придется делать это на практике. Действительно, весь смысл энтропии заключался в том, чтобы получить хороший PRNG. Как только это будет сделано, нет смысла вытягивать из пула больше энтропии, если, конечно, у тебя нет  причин полагать, что твоя  система скомпрометирована. Это подводит нас к / dev / urandom.

/dev/urandom

Зайди на сайт https://www.hackaday.com и посмотри доступную энтропию. Скорее всего она  не уменьшится , несмотря на мое утверждение о том, что SSL-соединение потребует генерации секретного случайного числа. Это потому, что любой современный браузер для генерации своих случайных чисел использует /dev/urandom вместо /dev/random. urandom - это PRNG, периодически берущий затравку  из энтропийных пулов системы, когда в них содержится достаточное количество таксированной энтропии.

Результат  PRNG  /dev/urandom неплох настолько насколько  хороша  его затравка , но поскольку она  отбирается из системного энтропийного пула, когда в нем более 256 бит энтропии (для  ядра 4., то извлечение ее большего  количества сомнительно. А так как этот PRNG периодически перезаправляется, когда в энтропийном пуле  достаточно seed, его очень сложно использовать в своих интересах, даже если твой компьютер захвачен злоумышленниками.

B истории ядра Linux противостояние  /dev/random и  /dev/urandom несколько холиварно. Основное отличие для конечного пользователя состоит в том, что / dev / random будет выжидать перед передачей  чисел до  тех пор, пока (С-С: в системе)  не накопится  достаточной энтропии, в то время как / dev / urandom представляет собой автономно работающий  PRNG, который уже заправлен затравкой  из/ dev / random и в идеале, имеюший достаточно энтропии. Единственный момент , когда действительно важна разница между ними, это   загрузка -тогда системе требуется некоторое время для накопления  достаточной энтропии, чтобы заправить нормально затравкой   PRNG в / dev / urandom. В остальное время просто используй / dev / urandom.

[гипотетический]

Рассмотрим такой гипотетический вариант.

Все, абсолютно все при любых условиях холдят биткоин  и не делают никаких  транзакций в сеть. Мемпул опустошен до нуля. Новых транзакций  нет, а следовательно нет новых блоков. Майнеры не могут покрыть свои расходы и отваливаются. Сеть исчезает. Апокалипсис или в протоколе есть предохранители? Ответ, что кто-то не выдержит и сделает транзакцию не приемлем, так как не удовлетворяет начальному условию:

Все, абсолютно все при любых условиях холдят биткоин  и не делают никаких  транзакций в сеть.