miko_style
|
|
August 25, 2016, 12:13:20 PM |
|
Ethereum Foundation представил новую версию кошелька и браузера децентрализованных приложений Mist. Одной из его главных особенностей стало включение Coinbase Buy Widget – инструмента, с помощью которого можно осуществить моментальную покупку криптовалюты на сумму до $5. пруфПоставил уже, пытаюсь через него сплитануть ETH-ETC, пишут, что кошель теперь на это способен.
|
|
|
|
4stHvost
|
|
August 25, 2016, 12:14:40 PM Last edit: August 25, 2016, 01:32:26 PM by 4stHvost |
|
Супорт молчит 3е сутки. Я тут подумал и решил попробовать с ними повоевать
Я ждал от них ответа неделю! 3 дня это не игнор, они просто не спеша работают! 1) Диапазоны впсок общедоступная информация, ип впски = ип впн провайдера, и означает что человек заинтересован в сокрытие своего ип.
Не обязательно! возможно человек не хочет светить трафик локальному наблюдателю 2) При использование ссш возможно утечка реального ип через dns/webrtc (проверить можно здесь whoer.net)
с отключенным webrtc меня на кракен не пустили, с поло проблем не было, ip тоже постоянно меняю килобакс ты рано на тропу войны вышел, поторопился подожди чуть-чуть они ответят, это не та публика, они отмораживатся в принципе не должны, иначе default получается!
|
|
|
|
klbax381
|
|
August 25, 2016, 01:51:05 PM |
|
Весь траффик идет через SSH, все жестко завернуто iptables туда. Утечка реального IP исключена, да и реальных IP у меня не один. Линукса тоже извне не видно, я все header-ы под винду закосил. Видится, как винда 7-10. Сильно геморно косить под обычного юзера, да и гарантии нет, что не заблочат. Буду делать программу, чтобы на автомате распыляла нужную сумму по разным биржам, обменникам и аккам. Заодно и несколько атак против поло проведу, чтобы не расслаблялись. Посмотрим, найдутся ли у них решения и какие килобакс ты рано на тропу войны вышел, поторопился Smiley подожди чуть-чуть они ответят, это не та публика, они отмораживатся в принципе не должны, иначе default получается! Так мне еще софт минимум неделю писать надо, а может и 2-3. Так что пока времени у них достаточно. И у меня достаточно, чтобы грамотно спланировать атаку Этими своими алгоритмами они создают проблемы обычным пользователям, но не мне и не хакерам. Я то те 2 битка заработаю еще, это не большая потеря для меня и далеко не первая. Мы то обойдем ихние проверки, да и биржа то не одна.
|
|
|
|
|
sandinthebones
|
|
August 25, 2016, 02:33:14 PM |
|
Весь траффик идет через SSH, все жестко завернуто iptables туда. Утечка реального IP исключена, да и реальных IP у меня не один. Линукса тоже извне не видно, я все header-ы под винду закосил. Видится, как винда 7-10.
Сильно геморно косить под обычного юзера, да и гарантии нет, что не заблочат. Буду делать программу, чтобы на автомате распыляла нужную сумму по разным биржам, обменникам и аккам. Заодно и несколько атак против поло проведу, чтобы не расслаблялись. Посмотрим, найдутся ли у них решения и какие
Идея менять ось через хидеры очень плохая, это 100% палёво, кроме хидеров есть ещё джаваскрипт, плюс ось можно определить через версии плагинов, это из явных. Также можно определить ось по совокупности неявных параметров свойственных именно линукс системам. Есть ещё вот такая замануха - https://www.browserleaks.com/canvas, вы у себя хидеры можете до безконечности менять, канвас у вас будет один и тотже.
|
|
|
|
max1972
Member
Offline
Activity: 79
Merit: 10
|
|
August 25, 2016, 02:55:23 PM |
|
Непонятно на чем основаны такие вангования автора. Просто предположения?
|
|
|
|
@ny0n3
Newbie
Offline
Activity: 26
Merit: 0
|
|
August 25, 2016, 02:57:30 PM |
|
Подскажите пожалуйста как создать свой веб кошелек эфира у себя на сервере кто подкинет исходники или статью можно не бесплатно
|
|
|
|
ON
|
|
August 25, 2016, 03:18:56 PM |
|
Непонятно на чем основаны такие вангования автора. Просто предположения? Пальцем в небо
|
|
|
|
miko_style
|
|
August 25, 2016, 03:22:38 PM |
|
Блин, что-то я вообще ничего не пойму. Пропал весь баланс ETH со всех кошельков. Мист показывает нули. Через geth тоже нули. Файлы аккаунтов на месте в keystore. etherscan.io показывает, что все на месте и транзакций левых не было.
|
|
|
|
klbax381
|
|
August 25, 2016, 03:53:59 PM |
|
Идея менять ось через хидеры очень плохая, это 100% палёво, кроме хидеров есть ещё джаваскрипт, плюс ось можно определить через версии плагинов, это из явных. Также можно определить ось по совокупности неявных параметров свойственных именно линукс системам. Есть ещё вот такая замануха - https://www.browserleaks.com/canvas, вы у себя хидеры можете до безконечности менять, канвас у вас будет один и тотже. Плагинов нет ни одного. Хоть и паливо от части, но в сети много браузеров без плагинов. Canvas тоже подобрал под популярный. Javascript тоже подогнал под винду
|
|
|
|
klbax381
|
|
August 25, 2016, 05:39:15 PM |
|
Блин, что-то я вообще ничего не пойму. Пропал весь баланс ETH со всех кошельков. Мист показывает нули. Через geth тоже нули. Файлы аккаунтов на месте в keystore. etherscan.io показывает, что все на месте и транзакций левых не было.
Если нет левых транзакций значит просто заглючил блокчейн, надо пересинхронизировать. Не понимаю в чем проблема. На крутите nonce нулевыми транзакциями, потом воспользуйтесь ReplaySafeSplit-контрактом.
|
|
|
|
amaclin
Legendary
Offline
Activity: 1260
Merit: 1019
|
|
August 26, 2016, 05:43:20 AM |
|
Я сид беру вообще из АЦП вход которого в воздухе висит, собираю нужное количество бит(обычно раза в 4-8 больше нужного рандома) сида, потом хеширую. Получается тру рандом.
|
|
|
|
sandinthebones
|
|
August 26, 2016, 09:15:40 AM |
|
Идея менять ось через хидеры очень плохая, это 100% палёво, кроме хидеров есть ещё джаваскрипт, плюс ось можно определить через версии плагинов, это из явных. Также можно определить ось по совокупности неявных параметров свойственных именно линукс системам. Есть ещё вот такая замануха - https://www.browserleaks.com/canvas, вы у себя хидеры можете до безконечности менять, канвас у вас будет один и тотже. Плагинов нет ни одного. Хоть и паливо от части, но в сети много браузеров без плагинов. Canvas тоже подобрал под популярный.Javascript тоже подогнал под винду Позвольте поинтересоваться как вам удалось изменить канвас?
|
|
|
|
klbax381
|
|
August 26, 2016, 09:59:51 AM Last edit: August 26, 2016, 10:21:04 AM by klbax381 |
|
amaclin, зато есть парадокс дней рождения, теория вероятностей итд Позвольте поинтересоваться как вам удалось изменить канвас? Пришлось попотеть в свое время, разобраться как писать аддоны для фокс. Потом раскопал аддон CanvasDefender (распаковывается zip-ом, главный файл - content.js). Там реализована простейшая рандомная подделка canvas (зашумление). Но это не то, что нам нужно и рандомов очень быстро вычисляют, тк их не много, особенно в одном месте, например на какой-то бирже. Нужна своя реализация rendering-a. Это была самая сложная задача. Затем шарился в инете искал базы canvas, толком ничего не нашел, пришлось самому собирать с разных компов и ноутов и формировать свою базу. Потом это все дело подгонялось под каждый нужный сайт. А если что-то не так - аддон выдает пустую картинку, и сайт определяет тебя, как TOR-browser. К стати на полыне canvas-a нет. Для многих сайтов все проще - у них одинаковый вход(текст). Просто собираем базу и подсовываем сайту нужный результат. Если кто не знает как это работает и интересно, то вот отсюда можно начать https://www.browserleaks.com/canvas#further-reading
|
|
|
|
amaclin
Legendary
Offline
Activity: 1260
Merit: 1019
|
|
August 26, 2016, 10:40:38 AM |
|
amaclin, зато есть парадокс дней рождения, теория вероятностей итд Да шучу я. Просто была как-то задачка из тех, которые задают на собеседованиях, которая мне понравилась и запомнилась. (Сразу скажу, что я её решил не элегантным способом) Условие: у вас есть гнутая монета, которая при кидании выпадает орлом/решкой не 50/50, а в какой-то другой пропорции Задача: сделать генератор случайных чисел (ноль или один) с распределением именно 50/50 (Комментарий: собственно ваш АЦП на вход и хэширование - это практическая реализация этой задачи - получение тру рандома из данных, про которые мы не уверены, что они рандомные)
|
|
|
|
klbax381
|
|
August 26, 2016, 12:17:37 PM |
|
Задача хеш-алгоритма не сделать из нерандомных данных рандомные(он на это не способен), а выделить рандомные данные из общей кучи. То есть повысить гейн WGN-части спектра. Поясню: на вход, висящий в воздухе наводятся как рандомные данные, так и не рандомные. Если это дело пропустить через FFT, то мы увидим в спектре частоту 50гц(наводка от электросети) и ее гармоники. Еще можем увидеть другие частоты, например наводки от работы самого процессора или просто рядом работающего устройства. Ктоме того всегда имеется постоянная составляющая. Эти данные никак не рандомные(хотя и трудно предсказуемые), но имеют большую амплитуду. А рандом, который нас интересует - это белый шум(WGN), которого за этими наводками даже не слышно, его амплитуда может быть каких-то 1-2-3-4 LSB, но хеш алгоритм эти LSB выделит, а более сильный "предсказуемый" сигнал - задавит. Особенно, если это подходящий хеш, например keccak. Число рандомных бит(настоящих) это не 'разрядность АЦП' * 'количество выборок', а 'количество выборок' * 'амплитуда белого шума в этих выборках'. Скажем, если АЦП 10-битный, а амплитуда шума всего 2 LSB, тогда для генерации 256-битного рандомного числа нам надо взять 128 выборок(1280 бит) и прогнать их через хеш. Но такой генератор годится только для приватного пользования, тк из него легко сделать нерандомный генератор - дать мощную наводку на одной частоте и перегрузить вход АЦП, который тогда начнет выдавать вполне предсказуемую последовательность чисел на выходе и прогонка через хеш тоже выдаст вполне предсказуемый результат. Ну или если есть физический доступ до входа АЦП - вообще подать напрямую на вход напряжение выше верхнего предела АЦП, тогда он всегда будет выдавать одно и то же число - единицу И хеш всегда будет один и тот же. Для защиты от внешнего вмешательства нужны специализированные генераторы белого шума, не подвержены внешнему влиянию. Это далеко не простые устройства. Да еще они должны быть глубоко спрятаны в кристалле, чтобы их нельзя было просто так физически "обезвредить" Многие девайсы так и были взломаны - там стоял генератор случайных чисел на отдельной микросхеме. Ее выпаивали, и подавали вместо нее другие вполне предсказуемые данные(обычно все ноли или единицы).
|
|
|
|
Hix
Legendary
Offline
Activity: 1971
Merit: 1036
|
|
August 26, 2016, 05:06:03 PM |
|
|
|
|
|
klbax381
|
|
August 26, 2016, 06:38:24 PM |
|
так это блокер, сколько юзеров блокируют канвас? Уверен, на конкретном сайте вы будете единственный, кто это делает.
|
|
|
|
oyeTorry
|
|
August 27, 2016, 04:16:20 PM |
|
Trezor стал первым аппаратным кошельком, добавившим поддержку криптовалюты Ethereum. Соответствующая информация размещена на странице Trezor на Github. пруф
|
|
|
|
klbax381
|
|
August 27, 2016, 04:25:06 PM |
|
Для parity в режиме fast надо комп мощный. на VPSке 2ГБ 1ГГЦ HDD 10мб/с уже целый день молотит и половины блоков еще далеко нет. Trezor Бегло просмотрел код. Этот Trezor уязвим к тайминг-атакам, это как минимум, возможно и к другим side-channel атакам. Одним словом - если попадет такой трезор в руки опытного хакера, и на нем будет достаточно бабла - его сломают и бабки уведут
|
|
|
|
|