Valeu, com certeza vou implementar algumas dessas ideias.

Trabalhando na nova versão aos poucos, mas de pouquinho em pouquinho a coisa anda...

Uma curiosidade, percebi ontem enquanto codava que você estava no topo da lista de usuários com mais postagens nas últimas 24h...

Recebi uma notificação da Blue Wallet relembrando que quem tem satoshis na LN pela Blue Wallet tem até o dia 30 desse mês para mover as suas moedinhas para outra carteira. Fica aqui o aviso mais uma vez.

Conheço de nome, mas nunca testei. Parece também não ser totalmente de custodia própria, então é um pouco menos segura mas tem uma UX mais legal para quem começa.

Esse caso eu me recordo. Alguém com acesso físico ao dispositivo poderia obter um dump da sram do dispositivo e conseguir a seed e o pin sem saber a senha de desbloqueio. Mesmo assim é um caso a parte que não tem nada a ver com esse problema de comprar uma HW usada. Não só toda carteira (oficial ou revendida) era suscetivel ao ataque, como ela só era viável com o acesso físico ao dispositivo inicializado. O problema também já foi corrigido.

Isso é bem diferente, engenharia social é a coisa mais comum do mundo. Resetou o dispositivo e/ou jogou a tal "seed oficial" fora e não importa de onde a carteira veio.

Eu queria saber é de casos onde o *hardware* da carteira foi modificado a ponto de você resetar o dispositivo e ainda ser roubado pois o chip criptográfico adulterado gerou uma seed com um "randomizador" modificado ou trocou o endereço da transação pré-assinatura, etc... até onde eu sei não há relatos sobre esse tipo de ataque.

Muita coisa pode impedir. Já estudou a parte tecnica do hardware da Ledger/Trezor?

Mas de qualquer forma, pedi um caso de exemplo pois realmente nunca li sobre um (nem acho que exista). Fiquei curioso.

Cortou logo a primeira frase:

Deve ter um QR code, a private-key impressa, etc... qualquer coisa que alguém consiga obter fisicamente.

Essa é a graça.

Quem conseguir pegar o QR/dispositivo/private-key/tanto-faz conseguirá pegar as moedinhas. Seja essa pessoa um astronauta da NASA que vai ter que dar as moedinhas pro governo, seja um astronauta na surdina, seja o primeiro visitante comercial daqui à 20 anos...

Vá lá verificar você mesmo.

I believe my deposit was already confirmed. Actually, if I recall correctly, that was after combining my two Notes into a new one C, so it should have worked (and it did work a second later, when I clicked the button again).

Yes, I meant API address. But let's say I had issues with my Note. How do I connect the Note's public key to the note itself and to the fact that it was supposed to have any balance (example)?

---

It is on "the system's API", so: /api/verification/letter_signing_address/{the given API address}

Some thoughts:

- The website design is clean and very slick, good job.

- I really like the "Note" mixing (reminds me of you-guys-know-who, which I always enjoyed using ). I created two separate notes and funded both of them. Then I tried "combining" Note A alone (basically destroyed it for a new Note C), and later combine Note B and Note C for a third Note D. Withdrew my coins and they arrived just like any other mixer after the time I specified. No issues at all.

A -> C
B + C -> D -> my address

- When combining notes, I once got a 500 status error from the API (server was probably down), and yet I got an "invalid note(s)" alert. This can be confusing to the user since he will think he messed up somewhere while the issue is on the server. Probably better to return 404 if the note doesn't exist and show the appropriate message.

- The whole "API Address" is a bit confusing. Could you explain a little bit about it? The LoG of both "combine" and "withdraw" functions only mention those addresses, so how do we prove that the API address 1Abc... and 1Xyz... had X+Y funds and they both got deleted for a third note of API address 1Fgh..., which is supposed to be unspent? Maybe there are improvements to be made there.

- You should definitely, absolutely, add some kind of verification (either on the frontend or backend, or both) on the address the user inputs. I managed to go to the next step (Deposit) by using a 26-length random string, which is NOT a valid Bitcoin address (i.e 11111111111111111111111111).

- The coin output (what I got from the mixer) actually came from a 3-of-3 multisig address. No bs there.

- Maybe tell the user to save his deposit session and/or include that in the LoG? This way he can easily come back and check the status of his deposit even after closing the browser (better than forgetting it or manually having to go to /deposit/XXXXXXXX). Took me some time to notice that the LoG file is named after it.

- Minor UI suggestion, but maybe hide (or at least show the cursor "not-enabled") on the percentage slide of the last address (when addresses > 1), since you can't move it anyways.

- Minor UX (totally optional) suggestion, but maybe allow the user to regenerate the captcha on the page (usually by clicking on it) so he doesn't have to refresh it. I got at least one hard one (and failed it ).

- Very super minor UI issue, but you can click the Withdraw page "Continue" button even when it is disabled (i.e when the Note field is empty, shows the "invalid note or empty balance" message).

Actually enjoyed using the mixer. No doubt that you really get a big privacy bonus when you can hold your Notes for a few days rather than receiving the output coins after a few hours. I don't think there is any other mixer currently active with this functionality, which is a big plus for me.

Extra bonus points for not going with Cloudflare, the easy route. Any eventual downtime due to DDoS attacks is 100x worth not having a big corporate MITM, in my opinion.

bc1qvzxhnhdsg9zh6j3jy3vxdngd433al7udnyeydh

It has been working fine for me since OP's last message. Keep in mind that the .onion domain can only be accessed through Tor.

Not exactly bulletproof, but you could do: "Royse777" -Re:

a.k.a excludes titles starting with "Re:" (like most posts).

https://ninjastic.space/search?after_date=2022-01-01T00%3A00%3A00&before_date=2023-04-03T05%3A17%3A06&child_boards=true&title=%22Royse777%22%20-Re%3A

One day maybe there will be an option to only include one post per thread.

É exatamente por esse motivo que até hoje você e nem eu sabemos o que tem nessas mensagens.

E ele nunca divulgaria mensagens realmente privadas. Deve ser coisa do desenvolvimento do Bitcoin, assim como já são publicos os emails do satoshi com diversos desenvolvedores lá nos blocos iniciais (e até antes mesmo de ter um bloco).

I keep getting a "Backend offline. Please try again later" message and I noticed that the API calls are returning the 500 status. Both clearnet and Tor. DDoS maybe?

I'll take the best fail of April, thank you.

Rapaz, quem imaginaria que era só se candidatar que ia, né?

Nunca ouvi falar, tem o link de algum caso de exemplo?

Sim!

Na verdade já foi confirmado que existem algumas DMs secretas do satoshi.

Não consegui achar o post agora, mas lembro que o theymos tinha decidido soltar essas mensagens do satoshi em uma data que já passou. Depois ele mudou de ideia e botou essa data lá pra frente (alguns anos).

Isso. Foi muito usada pelos hackers e principalmente pela mídia do entretenimento.

Disruptivas é apenas uma usuária comum do BitcoinTalk, D1srupt1v4s é uma mega hacker que está tramando sabe-se lá o que...

Detalhe:

To get it working around 1 hour, yep. Took me longer to actually understand the code and clean it up a little bit so it doesn't look like a keylogger.

My favorite part of the Aprils Fool's joke every year is trying to create whatever I can around your inventions, so I couldn't miss it.

Damn, good job. I could feel the nervousness when you (almost) missed the last one.

Still got marked as a spammer though, should have posted it on that same page with the solved captcha.