Salve a tutti ragazzi, come da oggetto ho una domanda sulla transaction malleability. Leggo e rileggo e vorrei riuscire a capire, ma c'è qualcosa che non mi torna. Da quanto mi sembra di aver capito, questa "malleabilità" viene messa in atto da un ricevente che sfruttando un "bug" della scriptSig altera la firma, rendendola cmq valida, e quindi la trxid. Negli articoli ho trovato spesso come esempio che A paga 1 BTC a B, B cambia la trxid incassa il suo BTC e poi reclama ad A che non ha incassato nulla e quindi A si trova a rimandare un altro pagamento. Ora partendo dal presupposto che con segwit il problema è diventato obsoleto, le mie curiosita sono: - Ovviamente questa malleabilità andava a buon fine se il "malevolo" intercettava la trx prima che quella originale venisse propagata in tutta la rete
- Anche se questo accadeva, tramite blockexplorer A poteva vedere che dal suo indirizzo era partita cmq una trx verso B con trx diversa e quindi ad una seconda richiesta di pagamento di B, A si poteva rifiutare
Probabilmente c'è qualcosa che mi sfugge... Grazie a tutti coloro che mi aiuteranno a capire. Secondo me hai capito. Qui ( https://beincrypto.com/transaction-malleability-what-is-it-and-why-is-it-still-a-problem/) segnala che MtGOX ne soffriva e qualcuno ne ha approfittato. Controlli opportuni avrebbero potuto evitare la perdita ma ... |
|
|
|
...
Un lingotto d'oro per "funzionare", avendo già assorbito i costi energetici di estrazione, fusione e raffinazione, costa... ?
...appoggiato sul pavimento di una cassaforte costa "zero" per mille anni, o un milione di anni; contando sul fatto che la sua configurazione elettronica lo rende inerte ed inossidabile, in termini grezzi non necessita di manutenzione.
...
Neanche una chiave privata con depositati bitcoin costa nulla e, se ben conservata, può, presumibilmente, durare millenni. Va detto che, per avere valore, deve esistere ancora la blockchain e che gli algoritmi di hash non debbano essere stati, nel frattempo, violati. Quanto costa mantenere l'oro "sicuro"? Quanto costa spostarlo fisicamente? Quante vittime ha creato il lingotto che immagini? Morti in miniera, morti per rubarlo, morti per conservarlo, morti per trasportarlo? EDIT: o morti di fame per permettere a "qualcuno" di possederne a tonnellate. |
|
|
|
...
A me fa rabbrividire anche la dichiarazione: "la password dovrebbe essere data dallo stato". Ma siamo impazziti? E poi dovrei loggarmi ovunque con l'identità digitale? A questo punto eliminiamo anche la parola privacy dal vocabolario
A naso a me non sembra una cattiva idea, purché non venga resa obbligatoria ne per esercenti ne per cittadini. Al momento spid è in mano ai privati, gli utenti danno i propri dati a google, fb, amazon, ebay e compagnia cantando. Con uno spid statale, i dati veramente necessari verrebbero prelevati dallo SPID e il sistema spid saprebbe chi ha i dati di chi e quali campi ha richiesto. Se si scrivono regole e protocolli in modo efficiente credo sia meglio avere un apparato collettivo e non privato. Deve rimanere il sacrosanto diritto di esercenti e cittadini a poter utilizzare o meno il sistema. A me sta cosa fa una paura.....! Come dice Lukax8 il pericolo è quello degli hack ma poiché abbiamo già visto che gli hack ci sono e non sono nemmeno poco frequenti, penso sarebbe utile prevenire in altro modo, ovvero lasciando centralizzata la gestione Spid ma lasciare in carico al cittadino la gestione delle pwd per gli altri siti, com'è oggi. Al massimo si può lasciare al cittadino la facoltà di avvalersi di servizi centralizzati per le proprie pwd (o alcune a sua scelta) ma solo come facoltà. Ricordo ancora bene questo hack accaduto nel 2015: http://www.ictbusiness.it/cont/news/disastro-per-il-governo-usa-21-milioni-di-profili-hackerati/35130/1.html#.XhI6QtnSKV4e se è accaduto a loro che sono decisamente più preparati di noi sul tema (parlo a livello governativo), non mi farebbe piacere se lo stato imponesse una centralizzazione di tutte le pwd. Che lo stato abbia i nostri dati memorizzati in qualche database è inevitabile e certo. Che sia a rischio hakeraggio anche. Rendere disponibili i dati e l'autenticazione (mediante token o simile) ai siti che li usano per consegnare merce o servizi, fatturazione, social può essere comodo. Comodo per l'azienda e comodo per l'utente. Temo che l'obiettivo sia arrivare ad un controllo totale dei contenuti. Chi è riconosciuto pubblica, chi non è in grado di autenticarsi rimane isolato. Se pubblichi qualcosa di "illegale" si sa chi è stato ... non è rassicurante ... da rifletterci meglio. |
|
|
|
...
A me fa rabbrividire anche la dichiarazione: "la password dovrebbe essere data dallo stato". Ma siamo impazziti? E poi dovrei loggarmi ovunque con l'identità digitale? A questo punto eliminiamo anche la parola privacy dal vocabolario
A naso a me non sembra una cattiva idea, purché non venga resa obbligatoria ne per esercenti ne per cittadini. Al momento spid è in mano ai privati, gli utenti danno i propri dati a google, fb, amazon, ebay e compagnia cantando. Con uno spid statale, i dati veramente necessari verrebbero prelevati dallo SPID e il sistema spid saprebbe chi ha i dati di chi e quali campi ha richiesto. Se si scrivono regole e protocolli in modo efficiente credo sia meglio avere un apparato collettivo e non privato. Deve rimanere il sacrosanto diritto di esercenti e cittadini a poter utilizzare o meno il sistema. Sicuramente, come hai detto tu, va dato il diritto al cittadino/esercente di utilizzare il sistema o meno Assegnare allo stato l'emissione delle password implica che il cittadino ne abbia piena fiducia e se per caso qualche hacker dovesse scoprire una falla nel sistema potrebbe sostituirsi al cittadino sia nei confronti dello stato che nei social o magari anche nei conti bancari... Bello no? Va studiato un sistema sicuro. Magari una chiave privata e un sistema di firma per avere l'accesso. Una password con hash memorizzata sul server (o in chiaro) non mi sembra una soluzione adeguata. Se bucano un sistema la sicurezza deve essere salvaguardata. Ci sono le risorse per fare "qualcosa" di sicuro. Un vantaggio dell'apparato statale è che, se un cittadino perde la chiave privata, basta che vada in comune e si fa associare una nuova chiave. Lo stesso servizio di associazione chiave/cittadino potrebbe essere fornito anche da un qualunque ente (polizia, carabinieri, ade, ambasciata ...) ma anche da un capo famiglia per tutela di minori o con delega esplicita (revocabile) verso persona di fiducia (consulente informatico o analogo). Se il tutto può essere rimodulato con una visita al comune o altro ente accreditato io non ci vedo nulla di male. Problema: ci si può fidare dello stato? Risposta: bo? |
|
|
|
...
A me fa rabbrividire anche la dichiarazione: "la password dovrebbe essere data dallo stato". Ma siamo impazziti? E poi dovrei loggarmi ovunque con l'identità digitale? A questo punto eliminiamo anche la parola privacy dal vocabolario
A naso a me non sembra una cattiva idea, purché non venga resa obbligatoria ne per esercenti ne per cittadini. Al momento spid è in mano ai privati, gli utenti danno i propri dati a google, fb, amazon, ebay e compagnia cantando. Con uno spid statale, i dati veramente necessari verrebbero prelevati dallo SPID e il sistema spid saprebbe chi ha i dati di chi e quali campi ha richiesto. Se si scrivono regole e protocolli in modo efficiente credo sia meglio avere un apparato collettivo e non privato. Deve rimanere il sacrosanto diritto di esercenti e cittadini a poter utilizzare o meno il sistema. |
|
|
|
...
Vorrei una "mia" moneta per test e capire più da vicino questo mondo, quindi poi prevedo di abbandonarla e non certo usarla o farci altro.
...
Ethereum. Se non hanno cambiato puoi crearti la tua blockchain con il tuo genesys block e gli ammontari che vuoi, hai la tua blockchain e tuoi eth fake. Ma sarebbe un token giusto? Mi interessava di più clonare BTC oppure LTC. Per i token farei waves: banale e hai l'exchange pronto. Con ETH ti crei la tua blockchain senza modificare il codice, basta un file di configurazione e mini la tua chain. Per fare test ci sono applicazioni che fanno lo stretto necessario ... Fatti il tutorial: https://cryptozombies.io/ |
|
|
|
...
Vorrei una "mia" moneta per test e capire più da vicino questo mondo, quindi poi prevedo di abbandonarla e non certo usarla o farci altro.
...
Ethereum. Se non hanno cambiato puoi crearti la tua blockchain con il tuo genesys block e gli ammontari che vuoi, hai la tua blockchain e tuoi eth fake. |
|
|
|
a me le stable coin non piacciono
bisognerebbe certificare dei fondi FIAT per delle crypto
e' un contro senso, io non capisco ne approvo queste cose qua, per me sono senza alcun senso logico
infatti non uso tether & co (libra)
Però DAI è proprio affascinante e ha un suo perché. |
|
|
|
Mi e' arrivata la anycubic 4max pro, pagata 270 euro su ebay, ovviamente da buon prodotto cinese, gia' si trova a meno  (se avete il coraggio di comprarla su aliexpress, si trova anche a 220 euro, poi con l'iva e la dogana e' un terno al lotto) ... Mi sento veramente di consigliarla a chi si interessa di stampa 3d. Io l'ho ordinata direttamente dalla casa costruttrice, per ora tutto tace ... vedremo se arriva e cosa mi chiederanno di iva e altri dazi ... https://www.anycubic.com/products/anycubic-4max-pro-3d-printer |
|
|
|
|
Nei grafici di trading c'è una nuvoletta che porta a dei grafici con parecchi strumenti che credo siano utilizzati dagli analisti per fare previsioni o analisi, si trovano parecchi indici anche della borsa "normale".
Io non ci azzecco ma potrebbero essere strumenti utili.
|
|
|
|
Investigatore privato specializzato in blockchain: potrebbe diventare un lavoro promettente per il futuro se le criptovalute prendono piede. Se uno studia per bene il funzionamento dei mixer magari riesce anche a tracciare e dare un nome agli indirizzi.
Poi ci sarebbe da risolvere anche il problema delle criptovalute volte alla privacy tipo zcash, zcoin,...
I mixer dovrebbero rifiutarsi di mixare fondi rubati o taggati come tali. In caso un mixxer accetti fondi taggati questi andrebbero a sporcare tutte le transazioni in uscita che li coinvolgono. Un bene o è fungibile o non lo è. Qualche anno fa vedevo anche io come positiva la possibilità di segnare come rubati dei fondi, oggi non ne sono più sicuro. Bisognerebbe usare le informazioni per dare un nome e cognome e recapito fisico di chi ha commesso il furto e perseguirlo con le leggi ordinarie. Per monete volte alla privacy ... credo sia impossibile riconoscerle come provenienti da furto quindi non si pone il problema. Chi le ruba se le gode (e che le spenda in medicine!). |
|
|
|
Questi furti sono il male più grande dell'ecosistema cryptovalute. Mi auguro che in futuro si riesca davvero a trovare una soluzione per fermare questo fenomeno.
Considerazione interessante che mi fa riflettere sul punto: è giusto bloccare fondi frutto di furto? Dal punto di vista logico sì - sarei d'accordo - ma poi mi domando: augurarsi che si possa bloccare fondi non aprirebbe le porte ad una pericolosa censura nel mondo cripto? Voglio dire: oggi consenti di bloccare fondi perché sono stati il frutto di un furto, e domani come fai a evitare che qualche altro "ente" non blocchi altri fondi perché decide che è giusto bloccarli? Non mi piacerebbe questa idea.... e penso sia una percezione abbastanza diffusa: pensiamo solo a quel che è successo qualche tempo fa quando CZ ha proposto un fork per bloccare il furto che c'era stato su Binance. Stessa logica, e per fortuna la comunità ha bloccato l'idea sul nascere. Premesso che ogni furto è da condannare per definizione, mi spaventa il fatto di censurare/bloccare i fondi che ne sono oggetto, preferire che venisse recepito da tutti l'idea che se ti avventuri nel mondo cripto sei RESPONSABILE di quel che succede ai tuoi averi. Devi proteggerti prima che avvenga il furto, non puoi sperare che intervenga qualcuno in tuo soccorso dopo. Mia opinione, ovviamente.....  Non solo tua .. https://en.bitcoin.it/wiki/Principles_of_BitcoinAll changes and upgrades to the protocol should strive to maintain and reinforce these Principles of Bitcoin
21 million coins.
No censorship: Nobody should be able to prevent valid txs from being confirmed.
Open-Source: Bitcoin source code should always be open for anyone to read, modify, copy, share.
Permissionless: No arbitrary gatekeepers should ever prevent anybody from being part of the network (user, node, miner, etc).
Pseudonymous: No ID should be required to own, use Bitcoin.
Fungible: All coins are equal and should be equally spendable.
Irreversible Transactions: Confirmed blocks should be set in stone. Blockchain History should be immutable.
EDIT: è palese che ethereum ha perso la "verginità" da piccolo |
|
|
|
...
Mi sembra una cosa assurda per una ragione differente.
io governo obbligo poloniex a fare kyc per i clienti e a rispettare tutte le norme antiriciclaggio ecc. Poi però ti autorizzo ad aprire un sito uguale, ma dove puoi non fare controlli. E' questo il controsenso secondo me
Magari rilasceranno delle chiavi "autorizzative" ai soli utenti registrati e riconosciuti. Una sorta di private chain. Bo? Se facessero così che senso avrebbe per un utente spostarsi sul loro Dex ? quindi non credo sia questo il motivo.... ... Per un utente sapere che i fondi sono in mano sua e non dell'exchange potrebbe dare sicurezza. Se li bucano i fondi sono al sicuro. |
|
|
|
...
Mi sembra una cosa assurda per una ragione differente.
io governo obbligo poloniex a fare kyc per i clienti e a rispettare tutte le norme antiriciclaggio ecc. Poi però ti autorizzo ad aprire un sito uguale, ma dove puoi non fare controlli. E' questo il controsenso secondo me
Magari rilasceranno delle chiavi "autorizzative" ai soli utenti registrati e riconosciuti. Una sorta di private chain. Bo? |
|
|
|
io non capisco il senso di creare un exchange dex , un exchange che già è centralizzato, mi sembra un controsenso, cioè io ti obbligo a fare KYC sul mio sito, però te ne apro uno parallelo dove non necessita farlo Beh il centralizzato ormai ti obbliga al kyc perchè obbligato a sua volta dalle normative a cui deve sottostare. Soprattutto poi se si parla di Exchange che accettano il pair anche con Fiat. Poi apre anche un Dex che ha (ancora) margini di manovra per poter operare senza kyc. Quindi più opzioni - più grande il possibile bacino di clientela. Aggiungo: - se fanno partecipare al DEX anche i loro clienti si aggiunge liquidità al DEX che è uno dei problemi del Dex - chi partecipa usa il centralizzato per tornare in fiat - non hanno responsabilità delle chiavi private e anche i clienti dovrebbero essere più tranquilli e il sistema sarebbe meno attrattivo per hacker alla ricerca di guadagni "facili" Alla fine non sembra una cattiva idea. |
|
|
|
Sono stanco io o questa frase ha un "Non" in meno?
Final thoughts
I'm not saying that you should hold stablecoins, but I think that people..... Mah, a me sembra esatto, comunque, non é difficile correggerlo se ho capito male io Infatti, a me suona male anche l'originale. |
|
|
|
Sono stanco io o questa frase ha un "Non" in meno? |
|
|
|
scusa non mi torna proprio questo calcolo... Per trovare 2 blocchi consecutivi più velocemente di tutto il resto della rete la probabilità dovrebbe essere 0,45^2, cioè 0,2025%, per scovare ben 20 blocchi consecutivi sarebbe 0,45^20, cioè appena lo 0,000000116%. Da dove esce quel 53%?  Se vuoi la risposta completa la trovi a pag. 6,7,8 del white paper https://bitcoin.org/bitcoin.pdf dove lo stesso Nakamoto ha fatto questo tipo di calcolo. In breve il tuo calcolo è sbagliato perché per recuperare 20 blocchi consecutivi non serve che l'attaccante generi 20 blocchi consecutivi ciascuno in meno tempo della parte onesta della rete, ma è sufficiente che il tempo totale con cui l'attaccante genera i 20 blocchi sia minore del tempo totale impiegato dal resto della rete. Il primo caso implica il secondo ma non viceversa. L'attacco in quel caso infatti sarebbe riuscito, e solo allora l'attaccante immetterebbe in circolazione tutti e 20 i blocchi riscrivendo in un sol colpo tutta la storia recente. La variabile aleatoria fondamentale qui è il numero k di blocchi consecutivi che si riescono a generare in un dato tempo, non il numero di blocchi consecutivi che si riescono a generare ciascuno più velocemente del resto della rete. Pertanto si usa la distribuzione di Poisson. L'aspetto da tenere sempre a mente è che tutti i risultati della "lotteria" dei blocchi della blockchain sono in teoria (e in pratica) temporanei, ad oggi ciascun vincitore della lotteria degli ultimi 100 blocchi o degli ultimi 10000 blocchi potrebbe cambiare domani perché qualcuno nel frattempo sta minando in segreto una catena più lunga. Se vuoi il tuo calcolo si occupa solo di un caso particolare nel quale l'attaccante vince, ma ci sono molti più casi (e probabilità maggiori) per riuscire nell'impresa. Sempre prezioso, puntuale, preciso e chiaro. Oltre ai merit un grazie esplicito. A questo punto diventa chiaro il concetto che ho espresso in precedenza, scrivendo un hash sul barattolo facciamo una sorta di chekpoint come è stato fatto anche nei sorgenti di bitcoin e come spiegato in poche righe alla pagina: https://en.bitcoin.it/wiki/Checkpoint_Lockin |
|
|
|
Se sull'etichetta di un prodotto (es. basattolo di salsa di pomodoro) indichi anche l'hash dell'ultimo blocco che contiene la storia del prodotto stesso rendi immodificabile la blockchain almeno per chi ha il barattolo in mano.
EDIT: anche se l'hash non ha POW
Il legame tra blocchi tramite l'hash dà garanzie di non manomissione dei singoli passaggi della sequenza, ma non dà alcuna garanzia di non alterazione dell'intera sequenza o, detto altrimenti, non mi assicura di trovarmi sulla catena originale ed autentica e non su una sua copia (fork) integrale. ... Se il barattolo riporta anche un hash di un blocco successivo all'ultima "transazione" che lo riguarda è praticamente a POW massimo. Immodificabile fino a quell'hash. Anche se la chain è privata e senza pow. |
|
|
|
|
Show Posts
