tim_kuff
|
|
July 20, 2017, 09:10:18 AM |
|
Кто правильно читает новости, тот понял, что уязвимость была конкретно в кошельках parity с мультиподписью. Причем здесь сам эфир.
Тогда спросим тех, кто читает правильно новости, кто создатель кошелька Parity с мультиподписью? Доктор Гэвин Вуд (Dr. Gavin Wood), бывший технический директор Фонда Эфириума, сейчас возглавляющий Ethcore – компанию -разработчик клиента Parity. А вообще, нужно конечно серьезно пересмотреть весь подход, более профессионально нужно работать, а то все разрабы конкретно охерели, расслабились. Это потому-что спроса с них нет. Мол, ой, а у нас 30 лимонов зелени пропало, детский сад
|
|
|
|
johhnyUA
Legendary
Offline
Activity: 2436
Merit: 1845
Crypto for the Crypto Throne!
|
|
July 20, 2017, 09:11:36 AM |
|
На Nxt проводили ИКО еще до того как это стало трендом. Это не дырявый эфир - это дырявые головы разрабов контракта. Вот вся прелесть полноты по тьюрингу. Именно по-этому разрабы Nxt в свое время отказались от такого решения и у них контракты неполные по Тьюрингу. Иначе невозможно обеспечить безопасность. И волны планируют тоже самое реализовать.
А чем плох Тьюринг полный язык для смарт контрактов? Я согласен, что багов много могут наклепать идиоты. Но они на то и идиоты, что наклепают багов и в не полном языке. И почему нельзя обеспечить безопасность? Основная проблема полноты по Тьюрингу - все слишком просто. Например в Solidity отправить транзакцию можно методом send() и программист вообще может не понимать что этот метод делает на "нижних" уровнях взаимодействия. Он как бы работает только с внешней оболочкой, не вникая во внутренние процессы. Но опять таки, это зависит от кодера.
|
|
|
|
Lepych
|
|
July 20, 2017, 09:16:45 AM |
|
Кто правильно читает новости, тот понял, что уязвимость была конкретно в кошельках parity с мультиподписью. Причем здесь сам эфир.
Тогда спросим тех, кто читает правильно новости, кто создатель кошелька Parity с мультиподписью? Доктор Гэвин Вуд (Dr. Gavin Wood), бывший технический директор Фонда Эфириума, сейчас возглавляющий Ethcore – компанию -разработчик клиента Parity. А вообще, нужно конечно серьезно пересмотреть весь подход, более профессионально нужно работать, а то все разрабы конкретно охерели, расслабились. Это потому-что спроса с них нет. Мол, ой, а у нас 30 лимонов зелени пропало, детский сад Как же так получается что создатель Parity, он же разраб эфира, он же создатель Solidity, написал кривой контракт из за которого слили кучу денег, а эфир не при чем
|
▄▄████████████▄▄ ▄███▀▀▀░░░░░░░░░░▀▀▀███▄▄ ▄██▀▀░░░░░░░░░░░░░░░░░░░░░▀██▄ ▄██▀░░░░░░░░░░░░░░░░░░░░░░░░░░▀███ ▄██▀░░░░░░░░░░░░░░░▄▄▄▄▄█████████████▄ ▄██░░░░░░░░░░░▄▄█████████░░░░░░░░░░░░▀█▌ ▐██░░░░░░░░▄█████▀▀▀▀▀▀▀▀▀████▄░░░░░░░░▀█▌ ▐██░░░░░░▄███▀▀███████████████▀▀██▄░░░░░░██▌ ████▄░░▄██▀███████▄██████▄████████▀██▄░░░▐██ ██░▀████▀██████████████████████████████▄░░██ ██░░░▀██▄█████████████████████████▄██▀▀██▄██ ██▌░░░░▀███▄████████▀▀▀▀███████▄██▀░░░░░▀███ ▐██░░░░░░░▀███▄▄███████████▄▄██▀▀░░░░░░░░██▌ ▐██░░░░░░░░░░▀▀████████████▀░░░░░░░░░░░▄█▌ ▀██▄▄▄▄▄▄▄▄▄████████▀▀▀░░░░░░░░░░░░░░▄█▌ ▀███▀▀▀▀▀▀░░░░░░░░░░░░░░░░░░░░░░░░▄██▀ ▀██▄░░░░░░░░░░░░░░░░░░░░░░░░░░▄██▀ ▀███▄░░░░░░░░░░░░░░░░░░░░▄▄██▀ ▀████▄▄░░░░░░░░░░▄▄▄███▀ ▀▀▀██████████▀▀▀
| | | | | |
|
|
|
DarkNightRider
|
|
July 20, 2017, 09:31:01 AM |
|
Что-то на эфире творится какой-то ёбаный пиздец, простите мой плохой французский. Суммы серьёзные фигурируют и проекты все на слуху. Эфир только вроде подрос и опять полетел вниз. Да ладно, проекты на слуху. Толку то от этого, что на слуху. Ни одного путёвого среди них нет, Эглес Казино вообще сомнительный. Aeternity непутевый ? Мне не понравился. Херь какая-то и условия баунти дурацкие, никто уже подпись их и не носит. Разве что Скайрик от него кипятком писал, ну как оказалось он тоже ошибается.
|
|
|
|
mike0182
|
|
July 20, 2017, 09:33:44 AM |
|
Что-то на эфире творится какой-то ёбаный пиздец, простите мой плохой французский. Суммы серьёзные фигурируют и проекты все на слуху. Эфир только вроде подрос и опять полетел вниз. Да ладно, проекты на слуху. Толку то от этого, что на слуху. Ни одного путёвого среди них нет, Эглес Казино вообще сомнительный. Aeternity непутевый ? Мне не понравился. Херь какая-то и условия баунти дурацкие, никто уже подпись их и не носит. Разве что Скайрик от него кипятком писал, ну как оказалось он тоже ошибается. Базара нет, раз условия баунти дурацкие - проект херня!
|
|
|
|
Lepych
|
|
July 20, 2017, 09:36:26 AM |
|
Что-то на эфире творится какой-то ёбаный пиздец, простите мой плохой французский. Суммы серьёзные фигурируют и проекты все на слуху. Эфир только вроде подрос и опять полетел вниз. Да ладно, проекты на слуху. Толку то от этого, что на слуху. Ни одного путёвого среди них нет, Эглес Казино вообще сомнительный. Aeternity непутевый ? Мне не понравился. Херь какая-то и условия баунти дурацкие, никто уже подпись их и не носит. Разве что Скайрик от него кипятком писал, ну как оказалось он тоже ошибается. Какая подпись через месяц после окончания ико, какие условия баунти дурацкие, что вы несете? И как вы определили что скайрик ошибался?
|
▄▄████████████▄▄ ▄███▀▀▀░░░░░░░░░░▀▀▀███▄▄ ▄██▀▀░░░░░░░░░░░░░░░░░░░░░▀██▄ ▄██▀░░░░░░░░░░░░░░░░░░░░░░░░░░▀███ ▄██▀░░░░░░░░░░░░░░░▄▄▄▄▄█████████████▄ ▄██░░░░░░░░░░░▄▄█████████░░░░░░░░░░░░▀█▌ ▐██░░░░░░░░▄█████▀▀▀▀▀▀▀▀▀████▄░░░░░░░░▀█▌ ▐██░░░░░░▄███▀▀███████████████▀▀██▄░░░░░░██▌ ████▄░░▄██▀███████▄██████▄████████▀██▄░░░▐██ ██░▀████▀██████████████████████████████▄░░██ ██░░░▀██▄█████████████████████████▄██▀▀██▄██ ██▌░░░░▀███▄████████▀▀▀▀███████▄██▀░░░░░▀███ ▐██░░░░░░░▀███▄▄███████████▄▄██▀▀░░░░░░░░██▌ ▐██░░░░░░░░░░▀▀████████████▀░░░░░░░░░░░▄█▌ ▀██▄▄▄▄▄▄▄▄▄████████▀▀▀░░░░░░░░░░░░░░▄█▌ ▀███▀▀▀▀▀▀░░░░░░░░░░░░░░░░░░░░░░░░▄██▀ ▀██▄░░░░░░░░░░░░░░░░░░░░░░░░░░▄██▀ ▀███▄░░░░░░░░░░░░░░░░░░░░▄▄██▀ ▀████▄▄░░░░░░░░░░▄▄▄███▀ ▀▀▀██████████▀▀▀
| | | | | |
|
|
|
DarkNightRider
|
|
July 20, 2017, 09:49:46 AM |
|
Что-то на эфире творится какой-то ёбаный пиздец, простите мой плохой французский. Суммы серьёзные фигурируют и проекты все на слуху. Эфир только вроде подрос и опять полетел вниз. Да ладно, проекты на слуху. Толку то от этого, что на слуху. Ни одного путёвого среди них нет, Эглес Казино вообще сомнительный. Aeternity непутевый ? Мне не понравился. Херь какая-то и условия баунти дурацкие, никто уже подпись их и не носит. Разве что Скайрик от него кипятком писал, ну как оказалось он тоже ошибается. Какая подпись через месяц после окончания ико, какие условия баунти дурацкие, что вы несете? И как вы определили что скайрик ошибался? Как? как и кучка - КоинДаш. Условия Aeternity были год носить подпись и писать каждую неделю 10 (или?) обязательных сообщений. Может изменили? Так значит не пори херь, если не знаешь как дело было. Базара нет, раз условия баунти дурацкие - проект херня!
Пупсик... ну лень разжёввывать, честно. Гуляй
|
|
|
|
johhnyUA
Legendary
Offline
Activity: 2436
Merit: 1845
Crypto for the Crypto Throne!
|
|
July 20, 2017, 10:29:36 AM |
|
Мне бы лучше кто объяснил почему полнота по Тьюрингу это плохо для безопасности. Я почему то так не думаю. Да и эта дискуссия все равно бы была полезнее в этом разделе.
|
|
|
|
be.open
Copper Member
Hero Member
Offline
Activity: 2170
Merit: 914
White Russian
|
|
July 20, 2017, 10:39:44 AM |
|
Мне бы лучше кто объяснил почему полнота по Тьюрингу это плохо для безопасности. Я почему то так не думаю. Да и эта дискуссия все равно бы была полезнее в этом разделе.
Полнота по Тьюрингу вещь обоюдоострая, и да - это плохо для безопасности. Код смарт-контрактов обычно открытый и написан на языке высокого уровня, любой человек с навыками программирования может проанализировать его и попробовать найти уязвимость, а затем попытаться её использовать. Более того, возможность исполнять в смарт-контрактах произвольный код означает, что рано или поздно кто-то напишет злонамеренный код, и возможно он пройдет аудит безопасности и уйдёт в продакш. Вангую появление вирусных смарт-контрактов.
|
|
|
|
summonerrk
|
|
July 20, 2017, 10:41:55 AM |
|
Короче, почитал про уязвимость. В контракте parity есть функция initWallet, через которую устанавливаются владельцы. Ну как функция, на самом деле предполагалось, что это конструктор, который можно вызвать лишь раз при создании кошелька, но на деле у кодеров получилась обычная публичная функция, которую можно вызывать сколько угодно раз. Хакер просто вызвал initWallet и установил новых владельцев)). Потом перевёл все средства. Это не язвимость эфира как таковая, это криворукость разработчиков и недостаток тестирования. На самом деле, да... Открытые контракты, деньги, которые на них завязаны. Думаю, мы ещё много подобных историй увидим. Линк: https://blog.zeppelin.solutions/on-the-parity-wallet-multisig-hack-405a8c12e8f7Ну так а в чем собственно проблема вызвать эту функцию еще раз на кошельке хакера и установить новых владельцев и перевести все обратно? Ну или на мой кошелек Ну, там есть такой момент: "Потом перевёл все средства." Он перевёл на обычный эфирный адрес без всяких контрактов и мультиподписей. Хакер при переводе использовал подпись 1337. Наглец))
|
| . .Duelbits. | │ | | │ | ▄▄█▄▄░░▄▄█▄▄░░▄▄█▄▄ ███░░░░███░░░░███ ▀░░░▀░░▀░░░▀░░▀░░░▀ ▄░░░░░░░░░░░░ ▀██████████ ░░░░░███░░░░▀ ░░█░░░███▄█░░░█ ░░██▌░░███░▀░░██▌ ░█░██░░███░░░█░██ ░█▀▀▀█▌░███░░█▀▀▀█▌ ▄█▄░░░██▄███▄█▄░░▄██▄ ▄███▄ ░░░░▀██▄▀ | . REGIONAL SPONSOR | | ███▀██▀███▀█▀▀▀▀██▀▀▀██ ██░▀░██░█░███░▀██░███▄█ █▄███▄██▄████▄████▄▄▄██ ██▀ ▀███▀▀░▀██▀▀▀██████ ███▄███░▄▀██████▀█▀█▀▀█ ████▀▀██▄▀█████▄█▀███▄█ ███▄▄▄████████▄█▄▀█████ ███▀▀▀████████████▄▀███ ███▄░▄█▀▀▀██████▀▀▀▄███ ███████▄██▄▌████▀▀█████ ▀██▄███▀██▄█▄▄▄██▄████▀ ▀▀██████████▄▄███▀▀ ▀▀▀▀█▀▀▀▀ | . EUROPEAN BETTING PARTNER | |
|
|
|
tim_kuff
|
|
July 20, 2017, 10:44:15 AM |
|
Где-то читал, что Сатоси Накамото сознательно сделал биток тьюринг не полным. Видимо потому что работает правило - чем сложнее, тем хуже.
|
|
|
|
dvd-rw
Legendary
Offline
Activity: 1103
Merit: 1007
|
|
July 20, 2017, 10:52:50 AM |
|
Вангую появление вирусных смарт-контрактов.
А это очень даже интересная тема, можно под это дело ICO замутить.
|
|
|
|
mike0182
|
|
July 20, 2017, 10:55:21 AM |
|
Короче, почитал про уязвимость. В контракте parity есть функция initWallet, через которую устанавливаются владельцы. Ну как функция, на самом деле предполагалось, что это конструктор, который можно вызвать лишь раз при создании кошелька, но на деле у кодеров получилась обычная публичная функция, которую можно вызывать сколько угодно раз. Хакер просто вызвал initWallet и установил новых владельцев)). Потом перевёл все средства. Это не язвимость эфира как таковая, это криворукость разработчиков и недостаток тестирования. На самом деле, да... Открытые контракты, деньги, которые на них завязаны. Думаю, мы ещё много подобных историй увидим. Линк: https://blog.zeppelin.solutions/on-the-parity-wallet-multisig-hack-405a8c12e8f7Ну так а в чем собственно проблема вызвать эту функцию еще раз на кошельке хакера и установить новых владельцев и перевести все обратно? Ну или на мой кошелек Ну, там есть такой момент: "Потом перевёл все средства." Он перевёл на обычный эфирный адрес без всяких контрактов и мультиподписей. Хакер при переводе использовал подпись 1337. Наглец)) pwn eth
|
|
|
|
Giuseppe Pane
Member
Offline
Activity: 94
Merit: 10
🌟 COMSA ICO: 10/02/17 🌟
|
|
July 20, 2017, 11:19:53 AM |
|
Отрывок из книги один в один нынешние ИСО:
"Чарльз Маккей оставил нам бессмертное описание одного из них — знаменитого пузыря Компании Южных морей, основанной в 1710 году. Сама Компания (которая разрослась настолько, что скупила большую часть национального долга) была лишь эпицентром происходивших событий, гигантской корпорацией, чей капитал постоянно раздувался, из-за чего она, выражаясь современным языком, стала «слишком большой, чтобы обанкротиться». Компания вскоре стала образцом для сотен других подобных начинаний:
Повсюду стало возникать бесчисленное количество акционерных компаний, которые вскоре получили название пузырей, очень точно отражавшее их суть… Некоторые из них просуществовали неделю или две, после чего о них больше ничего не было слышно; другим же не удавалось продержаться даже на протяжении этого небольшого срока. Каждый вечер создавались новые схемы, каждое утро возникали новые проекты. Сливки аристократии были столь же увлечены этим стремлением к легкой наживе, как и самые усердные спекулянты с Корнхилла.
В качестве примера автор перечисляет восемьдесят шесть различных схем — от производства мыла или парусины до страхования лошадей и метода «изготовления сосновых досок из опилок». Каждый выпускал акции; их быстро собирали и начинали бойко ими торговать в тавернах, кофейнях, на улицах и в галантерейных лавках города. В каждом случае их цена быстро взлетала до небес — каждый новый покупатель рассчитывал, что сможет сбросить их какому-нибудь еще более доверчивому болвану до того, как их цена рухнет. Иногда люди торговали картами и купонами, которые давали им всего лишь право позже участвовать в торговле другими акциями. Тысячи разбогатели. Тысячи разорились.
Самой абсурдной и нелепой аферой из всех, которая больше чем иные вызвала у людей полное помешательство, была организована неким неизвестным авантюристом и получила название «Компания для продолжения получения большой выгоды, но как, никому неизвестно». Гениальный человек, который предпринял эту смелую и успешную попытку нажиться на общественной доверчивости, просто заявил в своей листовке, что необходимый капитал составлял полмиллиона, или пять тысяч акций стоимостью по 100 фунтов каждая и по два фунта депозита на каждую акцию. Каждому подписчику, внесшему депозит, предоставлялось право на получение 100 фунтов в год за акцию. Он не снизошел до того, чтобы объяснить, как он намеревался получить такой огромный доход, но пообещал, что через месяц известит вкладчиков обо всех необходимых подробностях и предложит внести остальные 98 фунтов за акцию по подписке. На следующее утро, в девять утра, этот великий человек открыл контору в Корнхилле. Дверь осаждали целые толпы; к трем часам дня, когда он закрыл контору, они подписались не менее чем на тысячу акций и заплатили депозит. Он был в достаточной мере философом, чтобы этим удовлетвориться, и в тот же вечер отправился на континент. Больше о нем не слышали."
|
|
|
|
johhnyUA
Legendary
Offline
Activity: 2436
Merit: 1845
Crypto for the Crypto Throne!
|
|
July 20, 2017, 11:23:00 AM |
|
Полнота по Тьюрингу вещь обоюдоострая, и да - это плохо для безопасности. Ты отвечаешь общими фразами. Код смарт-контрактов обычно открытый и написан на языке высокого уровня, любой человек с навыками программирования может проанализировать его и попробовать найти уязвимость ага, а когда не Тьюринг полный, то не все могут найти уязвимость, вернее найти могут не только лишь все, мало кто может это делать. Любой человек с навыками программирования и/или мозгами имея под руками гайд разработчика с описанием скриптов так же может найти баг. Притом, если в высокоуровневом тебе необходимо понимать действие методов, то скриптовые языки как раз таки разобрать на составные значительно проще имея под рукой документацию. Более того, возможность исполнять в смарт-контрактах произвольный код означает, что рано или поздно кто-то напишет злонамеренный код, и возможно он пройдет аудит безопасности и уйдёт в продакш. Вангую появление вирусных смарт-контрактов.
Это как ты сам можешь догадаться вопрос не языка, а аудита. На скриптовом языке так же может все быть. Единственное что я реально могу предположить, это то, что на полном языке (как я уже выше писал) программист может наделать багов сам того не понимая, так как он пишет только оболочку. Пишет он условие if day < a+1: owner = ether.send(address[], amount[], specials[]) и все, он не понимает как это работает внутри. Какие могут быть манипуляции со всем этим и так далее
|
|
|
|
be.open
Copper Member
Hero Member
Offline
Activity: 2170
Merit: 914
White Russian
|
|
July 20, 2017, 11:45:28 AM |
|
Полнота по Тьюрингу вещь обоюдоострая, и да - это плохо для безопасности. Ты отвечаешь общими фразами. Код смарт-контрактов обычно открытый и написан на языке высокого уровня, любой человек с навыками программирования может проанализировать его и попробовать найти уязвимость ага, а когда не Тьюринг полный, то не все могут найти уязвимость, вернее найти могут не только лишь все, мало кто может это делать. Любой человек с навыками программирования и/или мозгами имея под руками гайд разработчика с описанием скриптов так же может найти баг. Притом, если в высокоуровневом тебе необходимо понимать действие методов, то скриптовые языки как раз таки разобрать на составные значительно проще имея под рукой документацию. Более того, возможность исполнять в смарт-контрактах произвольный код означает, что рано или поздно кто-то напишет злонамеренный код, и возможно он пройдет аудит безопасности и уйдёт в продакш. Вангую появление вирусных смарт-контрактов.
Это как ты сам можешь догадаться вопрос не языка, а аудита. На скриптовом языке так же может все быть. Единственное что я реально могу предположить, это то, что на полном языке (как я уже выше писал) программист может наделать багов сам того не понимая, так как он пишет только оболочку. Пишет он условие if day < a+1: owner = ether.send(address[], amount[], specials[]) и все, он не понимает как это работает внутри. Какие могут быть манипуляции со всем этим и так далее У вас странная манера спорить, говорите то же самое, что сказал я, и при делаете вид, что вы правы, а я неправ. Вы похожи на сельского гопника, которому просто хочется подраться, и неважно по какому поводу.
|
|
|
|
mike0182
|
|
July 20, 2017, 11:52:33 AM |
|
Неплохо так потерял на сварме. Думал на отскоке заработать Хотя если к 80 сходит то отобью Ну вот, не долго же ждать пришлось
|
|
|
|
mike0182
|
|
July 20, 2017, 12:13:24 PM |
|
Как на битке палка так на форуме тишь да гладь
|
|
|
|
mitch_homan
|
|
July 20, 2017, 12:56:04 PM |
|
неплохо так биток за 2 свечки на 200 бачей прыгнул. готовяться...
|
|
|
|
johhnyUA
Legendary
Offline
Activity: 2436
Merit: 1845
Crypto for the Crypto Throne!
|
|
July 20, 2017, 01:21:58 PM |
|
У вас странная манера спорить, говорите то же самое, что сказал я, и при делаете вид, что вы правы, а я неправ. Вы похожи на сельского гопника, которому просто хочется подраться, и неважно по какому поводу.
Не совсем, разберем по тезисам. Твои тезисы: 1. Высокоуровневый язык и каждый может его понять. 2. Возможность исполнять произвольный код 3. Злонамеренный код Мой тезис (который приходит мне в голову) : 1. Баги появляются из-за непонимания кодерами что они делают. Мой тезис не является аргументом в пользу отказа от Тьюринг полного языка. Он является аргументов в пользу отказа от придурков-кодеров. Твои тезисы вообще являются какими то обобщенными, они к скриптовому языку подходят, и к высокоуровневому. Их (в моем понимании) рассматривать нельзя.
|
|
|
|
|