RoadTrain (OP)
Legendary
Offline
Activity: 1386
Merit: 1009
|
|
October 30, 2013, 04:40:14 PM Last edit: October 30, 2013, 08:09:03 PM by RoadTrain |
|
Цитирую свой пост сюда. Интересно пообсуждать, как вы относитесь к такому поведению пула? Значительно меньше чем на 100%. Иначе сатошидайс уже бы разорились. Все же просто: делаете ставку, если выиграли - получаете выигрыш, если проиграли - делаете даблспенд неподтвержденной транзы. Вот он - самосвал с золотом, перевернувшийся на вашей улице.
Похоже, эта идея, регулярно посещает пытливые головы. Просто перейдите по этой ссылке, Ctrl+F SatoshiDICE и Вы сами убедитесь. А знаете, зачем они делают маленькие выплаты в случае проигрыша? Мало того, в сентябре я наблюдал вполне успешную атаку такого рода против казино BetCoin Dice. Но тогда у атакующего были свои крупные мощности ( https://blockchain.info/address/1MA7CKbWMyKdPkmsbnwmfeLh1hYy5A3gy8), что позволило осуществлять дабл-спенды неподтвержденных транзакций. Схема простая: отправляли десятки мелких транзакций с нулевой комиссией на наиболее "доходные" адреса. Затем ждали транзакций с результатом. Если ставка выигрышная - подтверждали свою транзакцию, если нет - делали дабл-спенд. UPD. Пройдясь по адресам, выяснил, что это были проделки ghash.io. Замечательный пул... Вот например один из адресов, участвовавших в этом деле https://blockchain.info/address/125RaoTncVudhGEXQYxQVRP81fi4WzasA3Транзакция https://blockchain.info/tx/4d731074447f02609c3110a187f9c6976f2bf255288ec5666ee270f09679619dДобычу снова делили по 0.46 BTC для продолжения атаки. Если перейти дальше ( https://blockchain.info/tx/e0b44f68441ea0bad0f7694f735f496ce05238862534c6fea737b8903921185a), там снова выигрышные и дабл-спенд входы делились уже по 0.7 BTC Далее атаку решили прекратить и объединили всё, отправив на адрес 12e8322A9YqPbGBzFU6zXqn7KuBEHrpAAv https://blockchain.info/tx/292e7354fbca1847f0cbdc87a7d62bc37e58e8b6fa773ef4846b959f28c42910И самое интересное, с этого адреса 125 BTC перепало пулу ghash.io https://blockchain.info/tx/48168cf655d0ac0c7c2733288ca72e69ecd515a9a0ab2821087eb33deb7c6962Вероятно, что-то вроде взятки, или платы за аренду мощностей. UPD2. Нашёл начало. https://blockchain.info/tx/154ecb1eb72c933bc0707fa70deceb688361554ab81b901673d308aa84d9cfe9Обратите внимание на адрес 12PcHjajFJmDqz28yv4PEvBF4aJiFMuTFD Если посмотреть транзакции, то там есть цепочка выигрышей, начиная с https://blockchain.info/tx/0c1a08d035862b01d075e8044b1e9ce52a8ad951b57d876a2a9a0e3502c41eb0Транзакции с нулевой комиссией подтверждались только пулом ghash.io Ну и напоследок. Куда ушла награда за намайненные неизвестным блоки? В этой транзакции https://blockchain.info/tx/e567ad6232de5285e0dc211d3f1c489b1e00e509118ba98a4825529d0a9197d9 награду собрали на адрес 1AJyDV5LPSE2H3MMhu69sii6a3etD8nxeV, затем в транзакции https://blockchain.info/tx/faa7bc8b99376efa774045e79b42771fe668341b00290a61cd416992571c590d отправили на адрес 199kVcHrLdouz9k9iW3jh1kpL7j9nLg7pn. Этот адрес интересен тем, что на нем 6000 битков, и них 30% ведут свои корни к адресу 1CjPR7Z5ZSyWk6WtXvSFgkptmpoi4UM9BC (адрес майнинга ghash.io) https://blockchain.info/taint/199kVcHrLdouz9k9iW3jh1kpL7j9nLg7pn Интересная пища для размышлений, не так ли? Надо бы темку создать... UPD3: Ещё одно косвенное доказательство - отсутствие блоков на адрес ghash.io в период атаки (вечер 25-го - начало 27-го сентября) https://blockchain.info/address/1CjPR7Z5ZSyWk6WtXvSFgkptmpoi4UM9BC?offset=1350&filter=2
|
|
|
|
Format.C^
|
|
October 30, 2013, 05:16:11 PM |
|
Никогда не пользовался SatoshiDICE и не в курсе всех их ньюансов, но я одного не пойму - о каких проделках (даблспенде) ghash.io может идти речь, если у них мощность всего около 24% сети?? Просто исходя из этого вероятность double-spend крайне низкая...или я что-то пропустил?
|
|
|
|
manrus
Legendary
Offline
Activity: 1334
Merit: 1004
TTM
|
|
October 30, 2013, 05:20:22 PM |
|
Никогда не пользовался SatoshiDICE и не в курсе всех их ньюансов, но я одного не пойму - о каких проделках (даблспенде) ghash.io может идти речь, если у них мощность всего около 24% сети??
Можно иметь даже 0.01% чтобы сделать даблспенд После 51% тебе 100% повезет, вопрос лишь во времени. До 51% вероятность успеха уменьшается, но шанс остается.
|
|
|
|
Balthazar
Legendary
Offline
Activity: 3108
Merit: 1359
|
|
October 30, 2013, 05:22:36 PM Last edit: October 30, 2013, 07:18:24 PM by Balthazar |
|
Никогда не пользовался SatoshiDICE и не в курсе всех их ньюансов, но я одного не пойму - о каких проделках (даблспенде) ghash.io может идти речь, если у них мощность всего около 24% сети?? Просто исходя из этого вероятность double-spend крайне низкая...или я что-то пропустил? Это не всего, а более чем достаточно для "оптимизации" Мартингейла с целью получения плюса. Достаточно и намного меньшей доли, особенно если транзакцию специально собрать низкоприоритетную. Даже с 1-3% мощности заниматься подобным имеет экономический смысл, это выгодно в долгосрочной перспективе. 51% желательно только если целью является отмена транзакции, имеющей произвольное количество подтверждений. Для любого другого случая такой доли не нужно. После 51% тебе 100% повезет, вопрос лишь во времени. До 51% вероятность успеха уменьшается, но шанс остается.
Ответил выше, но повторюсь - это верно для случаев если обратная сторона обрабатывает перевод только после N подтверждений. Тогда имеют значение доли от мощности и соответствующие шансы на успех. В случае, если подтверждений не требуется, это не имеет значения. Даже на CPU в теории это будет выгодно, правда надо будет делать слишком большую цепочку попыток. Что же до метафизической стороны вопроса, это выглядит чистой воды педерастией. Особенно, на фоне заявлений владельцев, преисполненных заботой о будущем сети и ее инфраструктуры. Более-менее честно было бы, если полученный таким образом "доход" делился между участниками, помимо своей воли ставшими соучастниками мошеннической схемы.
|
|
|
|
RoadTrain (OP)
Legendary
Offline
Activity: 1386
Merit: 1009
|
|
October 30, 2013, 05:26:10 PM |
|
Никогда не пользовался SatoshiDICE и не в курсе всех их ньюансов, но я одного не пойму - о каких проделках (даблспенде) ghash.io может идти речь, если у них мощность всего около 24% сети?? Просто исходя из этого вероятность double-spend крайне низкая...или я что-то пропустил? Тут суть в двойной трате неподтвержденных транзакций. Вкратце механизм такой: Атакующий делает ставки, отправляя транзакции без комиссии. Поскольку они без комисии и с низким приоритетом, маловероятно, что какой-либо пул включит их в блок. Зато по сети такие транзакции распространяются нормально. Казино увидит твою неподтвержденную ставку и отправит обратную транзакцию, либо с выигрышем, либо с мелочью, означающей проигрыш. По результату этой ответной транзакции ты определяешь свои выигрышные ставки, и включаешь соответствующие транзакции в свой блок. Остальные транзакции "отменяешь", повторно тратя их входы и пересылая на свой адрес. На момент атаки у атакующего было в районе 25% мощности сети, так что блоки шли довольно часто.
|
|
|
|
bee7
|
|
October 30, 2013, 05:51:53 PM |
|
Тут суть в двойной трате неподтвержденных транзакций. Вкратце механизм такой: Атакующий делает ставки, отправляя транзакции без комиссии. Поскольку они без комисии и с низким приоритетом, маловероятно, что какой-либо пул включит их в блок. Зато по сети такие транзакции распространяются нормально. Казино увидит твою неподтвержденную ставку и отправит обратную транзакцию, либо с выигрышем, либо с мелочью, означающей проигрыш. По результату этой ответной транзакции ты определяешь свои выигрышные ставки, и включаешь соответствующие транзакции в свой блок. Остальные транзакции "отменяешь", повторно тратя их входы и пересылая на свой адрес. На момент атаки у атакующего было в районе 25% мощности сети, так что блоки шли довольно часто.
SatoshiDice-то как раз ждет по крайней мере 1го подтверждения. А BetcoinDice - нет (хотя я не смотрел подробно, может в случае выигрыша он ждет подтверждения). Так что почему так пытаются атаковать SD мне не совсем ясно.
|
|
|
|
Format.C^
|
|
October 30, 2013, 05:53:12 PM |
|
Спасибо, теперь врубился в суть, просто я специально как-то не задумывался над схемой SD, да и всегда считал, что нужны серьёзные мощности для даблспендинга. Так получается, что под удар попадают и магазины/сервисы, планирующие отпускать товар/услуги на мелкие суммы не дожидаясь подтверждений...пичаль. Все мои советы по этому поводу оказались некомпетентным бредом. Мне стыдно. Что же до метафизической стороны вопроса, это выглядит чистой воды педерастией. Особенно, на фоне заявлений владельцев, преисполненных заботой о будущем сети и ее инфраструктуры. Более-менее честно было бы, если полученный таким образом "доход" делился между участниками, помимо своей воли ставшими соучастниками мошеннической схемы. Мдаа... пул "идейных" показал своё настоящее лицо.
|
|
|
|
HappyS
Legendary
Offline
Activity: 1568
Merit: 1008
|
|
October 30, 2013, 06:03:55 PM |
|
А я то думаю, играл я играл себе на сатошидайс без задержки и подтверждений, а тут хлоп, и где то месяц назад ставки стали обрабатываться по часу и только после одного подтверждения. Да и на беткоин я сделал ставку сейчас - тоже без подтверждений не работает Может на битки которые с "идейного" пула у них что то вроде черного списка...
|
Нам нужны ботинки для гольфа, иначе мы отсюда не выберемся. 13H5Cu9ixeud7kiD52mDXrR7NWgc2PERdJ
|
|
|
bee7
|
|
October 30, 2013, 06:15:32 PM |
|
Кстати, не по этому ли гигахеш пытается свои орфаны майнить?
|
|
|
|
HappyS
Legendary
Offline
Activity: 1568
Merit: 1008
|
|
October 30, 2013, 06:16:34 PM |
|
Кстати, не по этому ли гигахеш пытается свои орфаны майнить?
Сам то как думаешь? химичат чето видать....
|
Нам нужны ботинки для гольфа, иначе мы отсюда не выберемся. 13H5Cu9ixeud7kiD52mDXrR7NWgc2PERdJ
|
|
|
RoadTrain (OP)
Legendary
Offline
Activity: 1386
Merit: 1009
|
|
October 30, 2013, 06:56:10 PM |
|
Спасибо, теперь врубился в суть, просто я специально как-то не задумывался над схемой SD, да и всегда считал, что нужны серьёзные мощности для даблспендинга. Так получается, что под удар попадают и магазины/сервисы, планирующие отпускать товар/услуги на мелкие суммы не дожидаясь подтверждений...пичаль. Все мои советы по этому поводу оказались некомпетентным бредом. Мне стыдно. Что же до метафизической стороны вопроса, это выглядит чистой воды педерастией. Особенно, на фоне заявлений владельцев, преисполненных заботой о будущем сети и ее инфраструктуры. Более-менее честно было бы, если полученный таким образом "доход" делился между участниками, помимо своей воли ставшими соучастниками мошеннической схемы. Мдаа... пул "идейных" показал своё настоящее лицо. Всё же с магазинами дела обстоят получше. Под удар попадают сервисы с мгновенным получением товара/услуги/результата. Интернет-магазину нет смысла настолько спешить. Пока я не вижу применения такой стратегии к чему-либо кроме казино. В будущем в bitcoin предполагается введение схемы child-pays-for-parent, когда следующая в цепочке транзакция может оплатить комиссию за своего родителя. В таком случае подобные мошеннические схемы станут более затруднены. PS. Ради интереса можно запостить эту информацию в английском разделе, они там любят такие темы.
|
|
|
|
Format.C^
|
|
October 30, 2013, 07:05:33 PM |
|
Под удар попадают сервисы с мгновенным получением товара/услуги/результата. Пока я не вижу применения такой стратегии к чему-либо кроме казино.
Применение вполне может быть в предоставлении услуг по приёму оплаты за мобильную связь, как один из возможных вариантов, например. Ради интереса можно запостить эту информацию в английском разделе, они там любят такие темы.
Ради "информационного" интереса запостил эту информацию на форуме btcsec.com.
|
|
|
|
HappyS
Legendary
Offline
Activity: 1568
Merit: 1008
|
|
October 30, 2013, 07:11:13 PM |
|
Найдите кому не сложно цитату идейного про "если большие мощности попадут в плохие руки то это плохо кончится"
|
Нам нужны ботинки для гольфа, иначе мы отсюда не выберемся. 13H5Cu9ixeud7kiD52mDXrR7NWgc2PERdJ
|
|
|
maza5
Legendary
Offline
Activity: 1036
Merit: 1001
|
|
October 30, 2013, 07:27:30 PM |
|
Найдите кому не сложно цитату идейного про "если большие мощности попадут в плохие руки то это плохо кончится" https://bitcointalk.org/index.php?topic=308480.msg3326014#msg3326014
|
|
|
|
▄▄▄▄▄▄▄▄▄▄ ▄▄▄▄▄▄▄▄▄▄ █████████████████ █████████████████ █████████████████████████ █████████████████████████ █████████████████████████████ █████████████████████████████ █████████████████████████████████ █████████████████████████████████ ████████████▀ ▀███████████▓███████████████████████████████████ ████████████▄▄███████████▄▄█████████▓▓▓███████████████████████████████████ ▐██████████████▀ ▀██████████▓▓▓▓████████████████████████████████████ ██████████████▄▄█████████▄▄█████████▓▓▓▓▓████████████████████████████████████ ▐█████████████████▀ ▀██████████▓▓▓▓▓▓████████████████████████████████████▌ ▐████████████████▄▄██████▄▄█████████▓▓▓▓▓▓▓███████████████████████████████████▌ ▐██████████████████ ███████████▓▓▓▓▓▓▓███████████████████████████████████▌ ▐██████████████████ ████ ████████████▓▓▓▓▓████████████████████████████████████ ██████████████████ ████ ████████████▓▓▓▓▓███████████████ ████████████████ █████████████████ ████ █████████████▓▓▓████████████████ █████████████ █ ████████████████ ██████████████▓█████████████████ ███████████ ██████████████████████████████████ ██████████████████ ████████ ███████████████████████████████ █████████████████ ███████████████████████████ █████████████████▓ ████████████████████ ███████████████████▓ ▀▀▀▀▀▀▀▀▀▀▀▀▀ ▀▀▀▀▀▀▀▀▀▀▀▀▀ | | | │ | | │ | | . JOIN OUR TELEGRAM |
|
|
|
RoadTrain (OP)
Legendary
Offline
Activity: 1386
Merit: 1009
|
|
October 30, 2013, 07:36:23 PM |
|
Кстати, мне интересно, можно на ghash.io посмотреть статистику по блокам за 25-27 сентября? Всё таки мощности предположительно были отвлечены немалые. PS. 50btc жаловались на некий evilpool, который у них майнил и блоки удерживал (block withholding attack). Если у них раздобыть адреса этого пула, можно ещё анализ провести почему-то у меня уже есть подозрения, правда при условии, что 50btc не врут.
|
|
|
|
bee7
|
|
October 30, 2013, 07:57:15 PM Last edit: October 30, 2013, 08:07:35 PM by bee7 |
|
Кстати, мне интересно, можно на ghash.io посмотреть статистику по блокам за 25-27 сентября? Всё таки мощности предположительно были отвлечены немалые. PS. 50btc жаловались на некий evilpool, который у них майнил и блоки удерживал (block withholding attack). Если у них раздобыть адреса этого пула, можно ещё анализ провести почему-то у меня уже есть подозрения, правда при условии, что 50btc не врут. На вскидку - нет. Сайт использует socket.io для получения обновлений отображаемой информации. В детали реализации вдаваться не стану, но, поверхностно, суть такова: клиент "подписывается" на два канала после загрузки страницы 'shifts' и 'rounds'. По первому прилетает информация о сменах (которые сейчас по 100 милионов шар), по второму - информация о последних блоках. Сразу по подписке сервер высылает информацию по нескольким последним сменам и нескольким последним блокам (количество на усмотрение сервера в обоих случаях). Далее присылаются только обновления по текущим смене/блоку. Никаких следов каких либо "команд" с параметрами, которые можно было бы послать серверу нет. Заниматься брутфорсом - типа пробовать послать серверу "getround 23456" - ну его нах Edit: IMHO по поводу 50btc: прочитал сегодня их подробный рассказ о том, как обстоят дела, и, честно говоря, первое что на ум пришло: "Что за бред! как люди вообще были в состоянии поддерживать пул, если сейчас такое несут!??". Может, конечно, удержание решений и имело место, но то, что они написали - бред сивой кобылы, рассчитанный на людей, которые про компьютер знают только как он включается. Edit 2: "в детали реализации вдаватся не стану" Я вижу только то, что на стороне клиента (в браузере). отношения к разработке ghash.io не имею
|
|
|
|
RoadTrain (OP)
Legendary
Offline
Activity: 1386
Merit: 1009
|
|
October 30, 2013, 08:08:37 PM |
|
Кстати, мне интересно, можно на ghash.io посмотреть статистику по блокам за 25-27 сентября? Всё таки мощности предположительно были отвлечены немалые. PS. 50btc жаловались на некий evilpool, который у них майнил и блоки удерживал (block withholding attack). Если у них раздобыть адреса этого пула, можно ещё анализ провести почему-то у меня уже есть подозрения, правда при условии, что 50btc не врут. На вскидку - нет. Сайт использует socket.io для получения обновлений отображаемой информации. В детали реализации вдаваться не стану, но, поверхностно, суть такова: клиент "подписывается" на два канала после загрузки страницы 'shifts' и 'rounds'. По первому прилетает информация о сменах (которые сейчас по 100 милионов шар), по второму - информация о последних блоках. Сразу по подписке сервер высылает информацию по нескольким последним сменам и нескольким последним блокам (количество на усмотрение сервера в обоих случаях). Далее присылаются только обновления по текущим смене/блоку. Никаких следов каких либо "команд" с параметрами, которые можно было бы послать серверу нет. Заниматься брутфорсом - типа пробовать послать серверу "getround 23456" - ну его нах Edit: IMHO по поводу 50btc: прочитал сегодня их подробный рассказ о том, как обстоят дела, и, честно говоря, первое что на ум пришло: "Что за бред! как люди вообще были в состоянии поддерживать пул, если сейчас такое несут!??". Может, конечно, удержание решений и имело место, но то, что они написали - бред сивой кобылы, рассчитанный на людей, которые про компьютер знают только как он включается. Понятно, спасибо. Ещё одно косвенное доказательство - отсутствие блоков на адрес ghash.io в период атаки (вечер 25-го - начало 27-го сентября) https://blockchain.info/address/1CjPR7Z5ZSyWk6WtXvSFgkptmpoi4UM9BC?offset=1350&filter=2Насчёт удержания блоков - это причина, по которой PPS в принципе нежизнеспособен, поскольку для атакующего атака ничего (практически) не стоит - он получает свои монеты в любом случае. Зато выгода в виде разорения конкурента - очень даже значительная.
|
|
|
|
bee7
|
|
October 30, 2013, 08:17:28 PM |
|
Ещё одно косвенное доказательство - отсутствие блоков на адрес ghash.io в период атаки (вечер 25-го - начало 27-го сентября) https://blockchain.info/address/1CjPR7Z5ZSyWk6WtXvSFgkptmpoi4UM9BC?offset=1350&filter=2Насчёт удержания блоков - это причина, по которой PPS в принципе нежизнеспособен, поскольку для атакующего атака ничего (практически) не стоит - он получает свои монеты в любом случае. Зато выгода в виде разорения конкурента - очень даже значительная. Да, я тогда как раз майнил на ghash - только-только получил свою железку от метабанка и мне было не до выбора пула. Обратил на это внимание, но значения не придал. А то что PPS таки образом можно "приложить" - это я согласен. Я именно по этому и не понимаю, как этот пул вообще до сих пор выживал. Может здесь и есть связь, косвенно вы это доказали.
|
|
|
|
XBOCT
Member
Offline
Activity: 80
Merit: 10
|
|
October 30, 2013, 08:27:49 PM |
|
Я bitcoin-пользователь новый, и мне достаточно только своих пальцев, чтобы подсчитать все мои исходящие транзации , поэтому их сейчас легко смог пересмотреть все С нулевой комиссией подтверждены ghash.io, с ненулевой - другими пулами. Может ghash.io вообще все подряд подтверждают?
|
|
|
|
RoadTrain (OP)
Legendary
Offline
Activity: 1386
Merit: 1009
|
|
October 30, 2013, 08:28:16 PM |
|
Ещё одно косвенное доказательство - отсутствие блоков на адрес ghash.io в период атаки (вечер 25-го - начало 27-го сентября) https://blockchain.info/address/1CjPR7Z5ZSyWk6WtXvSFgkptmpoi4UM9BC?offset=1350&filter=2Насчёт удержания блоков - это причина, по которой PPS в принципе нежизнеспособен, поскольку для атакующего атака ничего (практически) не стоит - он получает свои монеты в любом случае. Зато выгода в виде разорения конкурента - очень даже значительная. Да, я тогда как раз майнил на ghash - только-только получил свою железку от метабанка и мне было не до выбора пула. Обратил на это внимание, но значения не придал. А то что PPS таки образом можно "приложить" - это я согласен. Я именно по этому и не понимаю, как этот пул вообще до сих пор выживал. Может здесь и есть связь, косвенно вы это доказали. Если в то время пул за отсутствием блоков вообще ничего не платил, картина ещё хуже вырисовывается - они использовали мощности пула бесплатно ради своей выгоды.
|
|
|
|
|