Cryptere - тест мобильного кошелька

[Se Bo]

Друзья, мобильный кошелек Cryptere - в июле 2022 проводит бета-тестирование своего аппаратного кошелька на пластиковой NFC-карте.

Для того чтобы принять участие в бета тестировании и получить 1 из 1000 карт для холодного хранения крипты надо:

1. установить мобильный кошелек: https://play.google.com/store/apps/details?id=com.cryptere.wallet
2. протестировать мобильный кошелек и написать отзыв в группе (адекватная критика приветствуется!) https://t.me/banqnote
3. забрать бесплатно пластиковую криптокарту (холодный кошелек), написав запрос на ее получение в этой группе
4. использовать мобильный и аппаратный кошелек, помогать развитию платформы и следить за новыми плюшками от Cryptere.

С уважением, команда Cryptere.

[1713558716]

1713558716

[1713558716]

1713558716

[1713558716]

1713558716

[andy_pelevin]

100% лохотрон

Сайта нет
Истории нет
Адреса нет
Лицензий нет

Нужно быть абсолютным валенком, что бы поверить в то, что аппаратный кошелёк можно сделать на пластиковой карте.

[bakasabo]

Я надеюсь "мобильный кошелек Cryptere" для дизайна своей карточки купил на фотостоках картинку, а не просто "позаимствовал" ее.




Судя по https://whois.domaintools.com/cryptere.com, разработчиком является Eugene Bortkevich, а это возможно его ютуб канал. По крайней мере человек обладает опытом создания приложений на андроиде, и за года возможно натренировался до уровня создания крипто кошельков. Но это не точно

[andy_pelevin]

Сайта нет

Сайт то есть, но больше похож на страничку в каком-нибудь медиуме. Странно, что ТС не указал его в своём посте: https://cryptere.com

Да, действительно, сайт есть,... правда, гугл тоже не сразу нашел, а только после настойчивого запроса, типа, "ищи, должно быть!"

...
А еще не понятно, о каких конкретно плюшках идёт речь?

Скорее всего, плюшками называют подводные камни.

А вообще, это объявление вполне можно изложить примерно так:

Мы сделали мобильные банковские ячейки без банка и без адреса. Вы можете положить туда свои деньги путём электронного перевода. Поверьте, это очень надёжная схема хранения. Услуга бесплатная. Отправляйте нам свои деньги и отзывы о нашей работе.

[Se Bo]

Коллеги, приветствую, постараюсь ответить на все вопросы сразу.
Во-первых, это бета-тестирование мобильного кошелька, поэтому переводить туда деньги не надо. Да и поскольку это не обменник, то фиат туда завести не получится. Альфа-тестирование прошло и люди пользуются мобильным кошельком в объеме той функциональности, которая заявлена командой разработчиков.
Второе, на пластиковых картах хранить крипту можно и без доступ к Интернет - и такое хранение считается более безопасное чем в веб-кошельках. Холодное хранение на пластике сделано, например, у кошелька Леджер.
И наконец про плюшки: пластиковая карта от команды Cryptere в подарок.

На счет сайта замечание принято - сделаем нормальный сайт чуть позже.

[Se Bo]

На текущий момент в мобильном кошельке Cryptere разработана следующая функциональность:

- создание аккаунтов в блокчейнах ETH и BTC
- пополнение и экспорт крипты на горячие кошельки
- хранение крипты на холодных кошельках в виде NFC-карты
- создание цифровой банкноты (эксперимент)

В ближайшем релизе будет сделана виртуальная криптокарта.
Планируем сделать хранилище в виде флешки. Не знаю - актуально или нет?

Также планируется сертификация мобильного кошелька во ФСТЭК. Ну это позже... С начала следующего года рассматривается обязательная сертификация обменников. Но не известно пока, будет ли обязаловка по криптокошелькам.

[andy_pelevin]

На текущий момент в мобильном кошельке Cryptere разработана следующая функциональность:

- создание аккаунтов в блокчейнах ETH и BTC

Есть ли гарантии, что созданные аккаунты не отправлены разработчику или не взяты из заранее заготовленной базы? Честное слово не в счёт.

- хранение крипты на холодных кошельках в виде NFC-карты

NFC-карты, т.е., возможность хранения данных в чипе, и холодный кошелёк это совсем не одно и то же. NFC-карты стоят от нескольких центов до нескольких долларов, цены на аппаратные холодные кошельки это сотни долларов.

- создание цифровой банкноты (эксперимент)

Цыгане продают на вокзалах биткойны в виде монет, но они давно уже не пользуются спросом.

Также планируется сертификация мобильного кошелька во ФСТЭК. Ну это позже... С начала следующего года рассматривается обязательная сертификация обменников. Но не известно пока, будет ли обязаловка по криптокошелькам.

Насколько можно понять из википедии, ФСТЭК - это какая то структура около ФСБ,... думаю, они тут не при делах.
Для любой сертификации нужно иметь юридическое лицо и кодер-одиночка не может это сделать.

Планируем сделать хранилище в виде флешки. Не знаю - актуально или нет?

Это актуально, но будет востребовано только при наличии открытого кода и аудита безопасности. Ещё нужна ненулевая репутация.

[witcher_sense]

- создание аккаунтов в блокчейнах ETH и BTC

В блокчейне биткоина нет аккаунтов, что имеется ввиду? Возможность создания ключей для этих блокчейнов из сид-фразы?

- пополнение и экспорт крипты на горячие кошельки

Опять странная формулировка. Что подразумевается под "экспортом крипты"? Криптовалюту можно "экспортировать" разными методами: просто отправить транзакцией, свипнув приватный ключ, или восстановить ключи и транзакции на другом кошельке, воспользовавшись функцией восстановления. Что из этого было добавлено?

- хранение крипты на холодных кошельках в виде NFC-карты

А как потратить средства с этой карты, ваш мобильный кошелек поддерживает пересылку по NFC?

- создание цифровой банкноты (эксперимент)

Вот здесь можно поподобнее. Вы в другом треде упоминали про хранение крипты без необходимости записывать ключи. Это оно?

Также планируется сертификация мобильного кошелька во ФСТЭК. Ну это позже... С начала следующего года рассматривается обязательная сертификация обменников. Но не известно пока, будет ли обязаловка по криптокошелькам.

А у вас ПО открытое или закрытое?

[Se Bo]

"В блокчейне биткоина нет аккаунтов, что имеется ввиду? Возможность создания ключей для этих блокчейнов из сид-фразы?"
Говоря техническим языком, имеется в виду возможность создания открытых ключей на основе закрытых ключей.

"- создание цифровой банкноты (эксперимент).... Цыгане продают на вокзалах биткойны в виде монет, но они давно уже не пользуются спросом."
Речь идет о возможности хранения закрытых ключей на пластиковых картах.

"- хранение крипты на холодных кошельках в виде NFC-карты
А как потратить средства с этой карты, ваш мобильный кошелек поддерживает пересылку по NFC?"
Сейчас этот кошелек в основном холодное хранилище. Чтобы потратить, надо сначала выгрузить в горячий кошелек. Но возможно сделаем позже подключение к бирже.

По поводу гарантий того, что приложение никуда не отсылает конфиденциальную информацию пользователей:
У нас ПО закрытое, проприетарное (proprietary software). И мы не используем никакие открытые и чужые фрагменты кода. В случае с открытым софтом - для хакеров больше шансов его взломать.
Сторонний аудит будем проводить, но только после завершения бета-тестов. Кстати ФСТЭК проводит аудит на наличие "закладок" в коде, несанкционированного кода, отсутствие не задокументированных особенностей, на отсутствие пересылок каких то данных, на соответствие требованиям закона о защите персональных данных, в том числе защите финансовой информации. Так что ФСТЭК возможно подходящий вариант для аудита кода.

Можно проверить какие данные собирает мобильное приложение с помощью специальных сервисов, которые рекомендуем для этих целей Касперский: https://www.kaspersky.ru/blog/check-what-data-apps-collect/23919/

Кроме того есть строгие правила по защите данных, конфиденциальности и пр. https://support.google.com/googleplay/android-developer/answer/11987217?hl=ru, которым мы следуем при разработке приложений и которые внимательно проверяет Google (сейчас время проверки занимает почти месяц).

- создание цифровой банкноты (эксперимент)

Вот здесь можно поподобнее. Вы в другом треде упоминали про хранение крипты без необходимости записывать ключи. Это оно?

С помощью цифровой карты (или банкноты) решается следующая задача: Предположим Алиса хочет передать Бобу крипту, но при этом не готова платить конскую комиссию... возможно даже эта комиссия больше чем величины передаваемой крипты. В этом случае Алиса может передать крипту не с помощью транзакции в сети блокчейн, а всего лишь передавая (не скомпрометированный) доступ к своему аккаунту по специальному протоколу. При этом у Алисы аккаунт из кошелька исчезает, а у Боба появляется. Стоимость такой передачи крипты составляет 0 центов.

[witcher_sense]

Говоря техническим языком, имеется в виду возможность создания открытых ключей на основе закрытых ключей.

Криптография на эллиптических кривых? А до этого нововведения закрытые ключи использовались для чего и как именно?

Речь идет о возможности хранения закрытых ключей на пластиковых картах.

Это обычная практика аппаратных кошельков - приватные ключи хранятся на защищенном элементе и никогда не передаются в Интернет. Так в чем принципиальная разница?

Сейчас этот кошелек в основном холодное хранилище. Чтобы потратить, надо сначала выгрузить в горячий кошелек. Но возможно сделаем позже подключение к бирже.

Вы тут всего намешали в своей формулировке. Как связаны NFC и подключение к бирже? Просто если ваша карта поддерживает NFC (как стандартная бесконтактная банковская карта), то данные с нее могут быть считаны через смартфон с поддержкой NFC. У вас не так? А как тогла "выгрузить" данные в горячий кошелек?

И мы не используем никакие открытые и чужые фрагменты кода.

Вы что все с нуля пишите, вместо того чтобы взять уже протестированные решения, которые используют большинство кошельков?

В случае с открытым софтом - для хакеров больше шансов его взломать.

Это сомнительное заявление, учитывая что в открытом ПО гораздо больше людей занимаются поиском уязвимостей. В закрытом ПО намного больше вероятность недосмотренного бага, который может привести к взлому. Тем более, если весь код пишется без использования проверненных библиотек.

Можно проверить какие данные собирает мобильное приложение с помощью специальных сервисов, которые рекомендуем для этих целей Касперский: https://www.kaspersky.ru/blog/check-what-data-apps-collect/23919/

Кроме того есть строгие правила по защите данных, конфиденциальности и пр. https://support.google.com/googleplay/android-developer/answer/11987217?hl=ru, которым мы следуем при разработке приложений и которые внимательно проверяет Google (сейчас время проверки занимает почти месяц).

Это все замечательно, но все это предполагает доверие к разработчикам. А учитывая, что вы появились из ниоткуда и предлагаете установить приложение с закрытым кодом, то доверию взяться неоткуда. Докажите мне, что сид-фраза генерируется рандомно и что вы не храните сгенерированные ключи у себя где-нибудь на сервере.

[andy_pelevin]

поскольку ТС не использует (не владеет) общепринятую терминологию, будет не лишним сделать несколько пояснений:
- NFC-карты - это устройство для хранения информации, но это не кошелёк.  
- не существует устройств, к которым можно подключить NFC-карты, существуют только устройства, которые могут читать информацию из чипа такой карты. Это разные вещи.
- некастодиальный кошелёк - это такой кошелёк , в котором закрытые ключи доступны для чтения(копирования) только владельцу.

Предположим Алиса хочет передать Бобу крипту, но при этом не готова платить конскую комиссию... возможно даже эта комиссия больше чем величины передаваемой крипты. В этом случае Алиса может передать крипту не с помощью транзакции в сети блокчейн, а всего лишь передавая (не скомпрометированный) доступ к своему аккаунту по специальному протоколу. При этом у Алисы аккаунт из кошелька исчезает, а у Боба появляется. Стоимость такой передачи крипты составляет 0 центов.

Именно так работают кастодиальные сервисы, у которых есть возможность передачи активов с одного аккаунта на другой за пределами сети. Если есть некий хитрый специальный протокол, который передаёт закрытый ключ Алисы Бобу, а у Алисы этот ключ исчезает, то у Алисы большие проблемы с безопасностью, а Боб вообще про неё забыл. Либо Алиса не имеет возможности иметь копию своего ключа, либо Боб(кот Базилио) на 100% уверен в честности своей подруги.

ТС следовало бы более внимательно почитать историю про Алису Боба и понять о чем там речь. А суть там в том, что Алисе и Бобу для передачи активов не обязательно нужно доверять друг другу, они вполне могут положиться на консенсус сети, открытый код и собственное благоразумие и аккуратность. Закрытый код, это лишние проблемы, которых можно избежать, если придерживаться лучших практик.

[Se Bo]

Можно проверить какие данные собирает мобильное приложение с помощью специальных сервисов, которые рекомендуем для этих целей Касперский: https://www.kaspersky.ru/blog/check-what-data-apps-collect/23919/

Кроме того есть строгие правила по защите данных, конфиденциальности и пр. https://support.google.com/googleplay/android-developer/answer/11987217?hl=ru, которым мы следуем при разработке приложений и которые внимательно проверяет Google (сейчас время проверки занимает почти месяц).

Это все замечательно, но все это предполагает доверие к разработчикам. А учитывая, что вы появились из ниоткуда и предлагаете установить приложение с закрытым кодом, то доверию взяться неоткуда. Докажите мне, что сид-фраза генерируется рандомно и что вы не храните сгенерированные ключи у себя где-нибудь на сервере.

Новый ключ генерируется по криптографическим правилам сети блокчейн.
Все необходимые данные, в том числе сгенерированные ключи, хранятся только на мобильнике. В этом легко убедиться... Достаточно отключить на мобильном устройстве Интернет (поставить телефон, к примеру, в авиарежим) и создать новый аккаунт.
Если бы новый ключ генерировался на сервере, а не локально на мобильном устройстве, то новый ключ в этом случае не возможно было бы создать.

поскольку ТС не использует (не владеет) общепринятую терминологию, будет не лишним сделать несколько пояснений:
- NFC-карты - это устройство для хранения информации, но это не кошелёк. 
- не существует устройств, к которым можно подключить NFC-карты, существуют только устройства, которые могут читать информацию из чипа такой карты. Это разные вещи.
- некастодиальный кошелёк - это такой кошелёк , в котором закрытые ключи доступны для чтения(копирования) только владельцу.

Не хотел использовать специальную терминологию. Но раз уже заговорили об этом, поясню...
Мы действительно делаем на первом этапе просто-напросто обычный некастодиальный кошелёк как базу для более сложного проекта.

В отличие от кастодиальных кошельков (используются на биржах и в веб кошельках) где приватные ключи хранятся не у пользователя, некастодиальный кошелёк хранит приватный ключ только у пользователя на устройстве (в нашем случае на мобильнике). А в случае аппаратного кошелька - на этом устройстве (в нашем случае NFC-карта). И ни кто кроме владельца кошелька не может воспользоваться приватным ключем.

Поэтому некастодиальный кошелёк считается наиболее безопасным способом хранения крипты, поскольку нет (и требуется) подключения к Интернет.
Зная приватный ключ (или SEED-фразу), можно получить доступ к крипте, поэтому хранение в кастодиальных кошельках не безопасно - как только централизованному агенту (бирже или веб кошельку) надо будет закрыть или ограничить доступ к вашим средствам, он легко это сделает.

Поскольку наше приложение генерирует закрытый и открытый ключ на мобильном устройстве, что можно проверить отключив мобильник от Интернет, то закрытый ключ храниться только у пользователя на устройстве. Открытый ключ в виде QR-кода (или цифрового кода) можно использовать для получения средств на свой аккаунт.

Дальше, уже для абсолютных параноиков как мы , чтобы не скомпрометировать свой закрытый ключ (вирусы там всякие, фишинг или просто кто то украл ваш телефон) можно с помощью нашего приложения записать закрытый ключ на NFC-карту. Это еще называют холодным хранилищем криптоактивов. Остаются еще вопросы - как сделать так, чтобы сохранить свои средства в случае если эту карту украли или она сломалась? Для этого существуют бэкап.

   

[andy_pelevin]

Поскольку наше приложение генерирует закрытый и открытый ключ на мобильном устройстве, что можно проверить отключив мобильник от Интернет...

Это не даёт ни каких гарантий. Ключи могут быть переданы в любое другое время.

Дальше, уже для абсолютных параноиков как мы , чтобы не скомпрометировать свой закрытый ключ (вирусы там всякие, фишинг или просто кто то украл ваш телефон) можно с помощью нашего приложения записать закрытый ключ на NFC-карту.  

Не нужно быть абсолютным параноиком что бы не загружать на свой телефон любой сомнительный софт от анонимного разработчика, даже просто здравомыслящий человек не станет делать таких глупостей. Но речь о людях, которые новички в сфере крипты и ещё не вполне осознали, как легко тут можно потерять свои деньги.

[witcher_sense]

Новый ключ генерируется по криптографическим правилам сети блокчейн.
Все необходимые данные, в том числе сгенерированные ключи, хранятся только на мобильнике. В этом легко убедиться... Достаточно отключить на мобильном устройстве Интернет (поставить телефон, к примеру, в авиарежим) и создать новый аккаунт.
Если бы новый ключ генерировался на сервере, а не локально на мобильном устройстве, то новый ключ в этом случае не возможно было бы создать.

Вы сам разработчик или просто продвигаете проект в качестве агента по маркетингу? Я спрашиваю, потому что вы странно формулируете технические аспекты, тем самым сбиваете с толку потенциальных пользователей. "Генерируется по криптографическим правилам сети блокчейн" - правила существуют вне блокчейна, а сам блокчейн никакие криптографические вычисления не проводит. Блокчейн просто распознает определенную инфомацию, и если она записана в нужном формате, то он принимает ее как валидную. Вот и все.

На мобильнике может хранится только копия ключей и проверить есть ли дополнительеая копия на сервере разработчиков в случае закрытого ПО просто невозможно. И авиарежим тут ничего не даст. Хотите расскажу как это можно провернуть? Добавить в приложение код, который генерирует псевдорандомные числа, которые зависят от, к примеру, числа загрузок. Например, самой первой загрузке соответствует ключ Х, загрузке под номером 1000 ключ номер Х+999. Базу этих ключей можно даже не хранить, просто вводите номер загрузки и он выдает вам соотвествующий ключ. Можно использовать какой-то более хитрый идентификатор типа IMEI устройства. Вариантов масса. Как проверить, что вы этого НЕ делаете?

[Se Bo]

Новый ключ генерируется по криптографическим правилам сети блокчейн.
Все необходимые данные, в том числе сгенерированные ключи, хранятся только на мобильнике. В этом легко убедиться... Достаточно отключить на мобильном устройстве Интернет (поставить телефон, к примеру, в авиарежим) и создать новый аккаунт.
Если бы новый ключ генерировался на сервере, а не локально на мобильном устройстве, то новый ключ в этом случае не возможно было бы создать.

Вы сам разработчик или просто продвигаете проект в качестве агента по маркетингу? Я спрашиваю, потому что вы странно формулируете технические аспекты, тем самым сбиваете с толку потенциальных пользователей. "Генерируется по криптографическим правилам сети блокчейн" - правила существуют вне блокчейна, а сам блокчейн никакие криптографические вычисления не проводит. Блокчейн просто распознает определенную инфомацию, и если она записана в нужном формате, то он принимает ее как валидную. Вот и все.

На мобильнике может хранится только копия ключей и проверить есть ли дополнительеая копия на сервере разработчиков в случае закрытого ПО просто невозможно. И авиарежим тут ничего не даст. Хотите расскажу как это можно провернуть? Добавить в приложение код, который генерирует псевдорандомные числа, которые зависят от, к примеру, числа загрузок. Например, самой первой загрузке соответствует ключ Х, загрузке под номером 1000 ключ номер Х+999. Базу этих ключей можно даже не хранить, просто вводите номер загрузки и он выдает вам соотвествующий ключ. Можно использовать какой-то более хитрый идентификатор типа IMEI устройства. Вариантов масса. Как проверить, что вы этого НЕ делаете?

Да какой уж тут пиар - 171 просмотров темы за 2  недели... Никому эта тема особо не интересна...
А пишу не техническим языком, чтобы объяснять новичкам все "на пальцах". Здесь, как я понял, людей в основном интересует: "как помочь блондинке купить шиткоин".

[xandry]

Да какой уж тут пиар - 171 просмотров темы за 2  недели... Никому эта тема особо не интересна...

А что должно заинтересовать пользователей? Сейчас мобильных кошельков, которые при этом уже имеют авторитет и так немереное количество, а вы предлагаете скачать и тестировать именно ваш. Какова мотивация? Пластиковая карточка, как по мне, нафиг не нужна никому.
Запустите реальную кампанию по тестированию как обычные проекты и вам десятки отзывов понапишут. Что я подразумеваю под нормальным тестированием:
1. Нужна инструкция пошаговая как получить биткоины в тестовой сети, так как реальные биткоины на свежий noname-кошелёк без открытого кода мало кто в здравом уме будет кидать.
2. Нужна мотивация помимо пластика.
1) В пластике мало кто заинтересован в принципе
2) Для получения пластика надо выдавать свои данные, либо заморачиваться как-то с тем, чтобы их хотя бы минимизировать
3) Это повод для коллаборации с каким-нибудь другим проектом. То есть, допустим, договорились о сотрудничестве с Polydoge (мем-токен) и в итоге они везде пишут, что за тестирование нового кошеля можно срубить токенов, а вам прилив новой крови.
4) Люди в принципе своё время ценят, а в чём смысл его тратить на тестирование закрытого продукта, когда ты в нём ни сколько не заинтересован? Тут даже на энтузиазме никто не зайдёт.
3. Я бы порекомендовал ещё англоязычную тему завести для повышения эффективности.

[witcher_sense]

Да какой уж тут пиар - 171 просмотров темы за 2  недели... Никому эта тема особо не интересна...
А пишу не техническим языком, чтобы объяснять новичкам все "на пальцах". Здесь, как я понял, людей в основном интересует: "как помочь блондинке купить шиткоин".

В русском разделе малая активность из-за того, что форум заблокирован в РФ, а "Яндекс" вообще заблокированные сайты не выдает в результатах поиска. Так что найти этот форум стало гораздо сложнее для русскоязычных пользователей. Но ч основном  все русскоязычные перепестились в другие разлелы форума, где обсуждения идут более живо. Попробуйте разместить вашу тему в разделе Hardware wallets и перечислите там все преимущества своего кошелька. Вот увидите, что там вопросы будут задавать еще каверзнее, чем я, потому что закрытое ПО тут не жалуют в принципе (какое бы надежное, безопасное и проверенное оно ни было). Также там скорее всего заметят ваше стойкое нежелание отвечать на вопросы касательно работы кошелька и как именно оно генерирует ключи. Я считаю это ключевым фактором, потому что безопасность ваших средств зависит от криптографии, а безопасность криптографии зависит от случайности ключей. Проблема случайности в том, что очень трудно или невозможно проверить ее степень, можно только проверить ее источник. Если источник нельзя проверить (как в закрытом ПО), то доверия к такой "криптографии" мало.

[Se Bo]

Коллеги, как думаете, может сделать в мобильном кошельке KYC? Хотя бы в мягкой форме - регистрация по номеру телефона к примеру. С нового года обещают сделать эту процедуру обязательной для обменников. Но для кошельков тоже такое требование вполне очевидно, хотя и избыточное.
Уже сейчас полной анонимности в крипте все равно нет. Все транзакции легко отследить по точкам ввода и вывода (банки, биржи, обменники, пр. к тому же всегда есть цифровой след). Зачем себя обманывать.
На счет закрытого ПО: допустим мы откроем свой код. Что это даст? Ну народ к примеру скажет, что мол в нем нет закладок, что код безопасный. Ну, появится множество форков. А разработчикам какой интерес?

[TopTort777]

Да какой уж тут пиар - 171 просмотров темы за 2  недели... Никому эта тема особо не интересна...

Иди в раздел Services и предложи карту в обмен на отзыва. Судя по любителям халявы их Collectibles, народ должен проявить бОльшую активность. Правда это может влететь в копейку, рассылать по всему миру карты. Если бюджет ограничен, предложи 1 карту на халяву в разделе коллектиблз и оставь ссылку на страницу проекта. Отправишь 1 карту, но на страницу перейдут много халявщиков. Прокупа мало, а посещений страницы много   (жаль только что страница только на русском)

[klarki]

А разработчикам какой интерес?

Большее распространенность среди пользователей) Как минимум, уже на этой теме можно запускать маркетинговое продвижение) А чтобы желающих было больше, можно запустить баг-баунти программу. Чего бояться, если продукт чистый?