LINUX.ORG.RU

Как Bitcoin кошельки защищены от диверсии разработчиков локального кошелькового софта?

 ,


0

3

Пожалуйста, объясните вкратце.

Просто я помню, как рушился рынок egold подобных emoney.

И интересно как в этом плане Биткоин защищен от атак со стороны влиятельных организаций.

Вопросы примерно такие:

1) Какие ограничения для создания клиента Bitcoin? Только соблюдение протокола обмена данными и соответствующая квалификация разработчиков?

2) Кто-то проводит аудит кода популярных клиентов?

3) Где гарантия от диверсий в коллективе разработчиков того или иного клиента? Например, давление на разработчиков, или создание нового клиента, заведомо со злым умыслом, подмена клиента на официальном сайте и т.п.?

Возможно вопросы нубские, не пользовался еще криптовалютами.

Например, СКЗИ нужно сертифицировать в ФСБ, отправлять на фирменном носителе надежной ТК и т.п.

А тут все открыто, что с одной стороны хорошо, чем то напоминает OpenGPG, а с другой стороны есть некоторые сомнения в долгожительстве ведущих криптовалют, если на них будут осуществлены атаки со стороны своего же нативного софта и пользователи при этом лишатся своих коинов.

★★

Последнее исправление: sanyock (всего исправлений: 9)

В репах - тем что собирают из исходников, а внедрить скрытый код в исходники практически не реально.
А вот бинарники никак не защищены, но от них пострадают только ньюфаги - биржи и крупные держатели собирают ПО сами и используют оффлайновые кошельки.

С тем же успехом можно протроянить любое популярное закрытое ПО, например вин10 или хром.

KillTheCat ★★★★★
()
Ответ на: комментарий от KillTheCat

В репах - тем что собирают из исходников, а внедрить скрытый код в исходники практически не реально.

Никогда не понимал почему все уверены что нереально. Реально, почему бы и нет?

Понятное дело что может быть нарушена репутация. Но разово сделать, спилить бабла, потом сказать что «скандал! нас похакали!» всегда можно если очень надо.

Конечно на практике основания доверять всем этим репам есть вполне достаточные. Я просто о том что какой-то совсем жесткой гарантии нету.

vertexua ★★★★★
()
Ответ на: комментарий от vertexua

В данном случае есть огромное число контрибьютеров и тех кто мержит код не бездумно. Слишком много свидетелей, как ты убедишь всех молчать?

KillTheCat ★★★★★
()
Последнее исправление: KillTheCat (всего исправлений: 1)
Ответ на: комментарий от KillTheCat

Я больше имел ввиду не коммитить что-то плохое, а собрать бинарь локально с незакомиченым патчем и втихаря впихнуть в реп.

vertexua ★★★★★
()
Ответ на: комментарий от KillTheCat

А если создадут новый клиент полузакрытой группой разработчиков, заранее прикормленных с целью долгосрочного приручения пользователей, а потом атаки на них с заведомо нехорошими целями?
Может быть, форк существующего клиент + вложение NN K$ на то, чтобы он стал более лучшим и ламповым, а потом «конфискация» у наивных пользователей NNN K$ ?

sanyock ★★
() автор топика
Последнее исправление: sanyock (всего исправлений: 2)
Ответ на: комментарий от sanyock

Или если объемы системы сильно вырастут, и большинство разработчиков основных популярных клиентов или либ попадет под какое нить влияние ( психотропное, фарма, генераторы, лучи, телепатия, шантаж и т.п. )

sanyock ★★
() автор топика
Последнее исправление: sanyock (всего исправлений: 1)
Ответ на: комментарий от vertexua

Но это не внедрение в исходный код, такое конечно сработает. Никто не станет ковырять бинарный опенсорс дизассемблером.

KillTheCat ★★★★★
()
Ответ на: комментарий от sanyock

Такое возможно, учитывая насколько bitcoin core не удобен альтернативных клиентов вышло море. Ну уведут они 1% от 1% битков и что? Мир не рухнет.

KillTheCat ★★★★★
()
Ответ на: комментарий от sanyock

создадут новый клиент полузакрытой группой разработчиков, заранее прикормленных с целью долгосрочного приручения пользователей, а потом атаки на них с заведомо нехорошими целями

Как бы Биткоин p2p, если его можно атаковать, то может атаковать кто угодно, у разработчиков нету преимущества, как например у банка, что есть центральный сервер. Если у софта есть бекдор, то его найти может и сторонний хакер. Денег в криптовалютах много, очень много, поэтому что можно сломать то ломают и получают сказочное вознаграждение, а если что-то до сих пор не сломали, есть конечно вероятность, что бекдор слишком хитро сделан, но она минимальна.

goingUp ★★★★★
()
Ответ на: комментарий от goingUp

Как бы Биткоин p2p,

Причем тут P2P?

Речь о том, что неправильный клиент, имея доступ к пользовательским ключам, может выдавать неправильные с точки зрения пользователя инструкции, но абсолютно коректные с точки зрения протокола и других p2p узлов, например раздаривать коины пользователя кому попало.

sanyock ★★
() автор топика
Ответ на: комментарий от sanyock

Причем тут P2P?

Топик звучит так:

Как Bitcoin и другие популярные крипто защищены от диверсии разработчиков?

Биток и прочая крипота это p2p технология.

Но в посте ты пишешь про реализации кошельков и пр. Видимо он только топик читал. Поправь его на:

Как Bitcoin кошельки и другие популярные крипто-кошельки защищены от диверсии разработчиков?

BruteForce ★★★
()
Ответ на: комментарий от KillTheCat

А что если у тебя компилятор, который может собрать клиент встроив бэкдор и может собрать другой компилятор, встроив генератор бэкдоров для биткоин клиента и генератор генераторов бэкдоров для компилятора?

a1batross ★★★★★
()
Последнее исправление: a1batross (всего исправлений: 1)
Ответ на: комментарий от Harald

забыл собственную жадность разработчиков с доступом к важным репам :)

верно, как то не подумал )

sanyock ★★
() автор топика
Ответ на: комментарий от a1batross

А что если у тебя компилятор, который может собрать клиент встроив бэкдор и может собрать другой компилятор, встроив генератор бэкдоров для биткоин клиента и генератор генераторов бэкдоров для компилятора?

генератор компилятора компиляторов он протоколом не предусмотрен

sanyock ★★
() автор топика
Ответ на: комментарий от a1batross

Какая разница, если у тебя уже спёрли деньги через клиент собранный похаченным компилятором?

Говорят, у NSA достаточно бэкдоров в сетевых стэках, так что теперь линупсом не пользоваться? А чем тогда пользоваться? Windows 10 ?

sanyock ★★
() автор топика
Последнее исправление: sanyock (всего исправлений: 1)
Ответ на: комментарий от sanyock

Тем, чему доверяешь.

А вот говорить, что внедрить куда-то код почти не реально, я бы не стал. Всё реально и вполне юзается определёнными людьми. Просто вы ещё об этом не знаете.

a1batross ★★★★★
()
Ответ на: комментарий от sanyock

Наверно, было бы неплохо, чтобы Биткоин клиенты проходили перед релизом какой нить автоматизированный паблик текст, результаты прохождения которого были бы доступны всем для ознакомления. Хотя тайм бомбу или другую сетевую закладку это конечно не исключает.

sanyock ★★
() автор топика
Ответ на: комментарий от sanyock

Вот смотри, допустим на разработчика напал приступ жадности, и он закоммитил код, который при запуске отправляет все деньги на его кошелёк, залил обновление в репозиторий. Или злоумышленник в маске ворвался к нему в дом, поимел физический доступ к компу и сделал это за него. Транзакции все публичные же, куда он их потом выведет, так, чтобы его органы за жопу не взяли потом? В общем, те же механизмы и защищают, что и с обычной банковской системой, карательная машина государства

Harald ★★★★★
()
Ответ на: комментарий от a1batross

А вот говорить, что внедрить куда-то код почти не реально

Кто говорит? Куда-то реально, куда-то менее реально.

Наверно, чем проще система, тем нереальнее внедрить?

sanyock ★★
() автор топика
Ответ на: комментарий от Harald

Транзакции все публичные же, куда он их потом выведет, так, чтобы его органы за жопу не взяли потом?

Только деньги могут зависнуть на неопределенное количество лет.
Он может просто затаиться, а потом придумывать способы слива.

sanyock ★★
() автор топика
Ответ на: комментарий от sanyock

А ты посмотри на какую ветку комментариев я отвечаю. Я даже подскажу — первый комментарий в этом треде.

Да, в исходники попасть сложно, из-за «глаз», о которых говорил Линус. Но не нереально. Возможно что-то уже есть — кодовая база биткоина немаленькая. Чтобы понять как оно работает в исходниках уйдёт немало времени, а чтобы ещё найти специально заложенную уязвимость...

a1batross ★★★★★
()
Ответ на: комментарий от sanyock

А если комьюнити может в любой момент октатиться, то как быть законопослушным пользователям, кто совершил одновременно свои крупные операции, жизненно важные для него.

Как пользоваться системой, в которой могут отменить транзакции, названные нереверсивными?

sanyock ★★
() автор топика
Ответ на: комментарий от Harald

Ладно, но кто правку внёс в исходники, отследить можно будет

Разработчики проходят полную идентификацию по паспорту и другим параметрам?

Или это может быть аноним из даркнет?

sanyock ★★
() автор топика
Последнее исправление: sanyock (всего исправлений: 1)
Ответ на: комментарий от sanyock

надоже прям темы отслеживают:

https://aftershock.news/?q=node/573390

только, что это за криптовалюта без майнинга? имхо теряется важнейшее свойство контроля общественности за эмиссией
они там изначально затарятся коинами по самые куршавели, да еще и новых смогут нагенерировать сколько захотят

почти фиат только в профиль

sanyock ★★
() автор топика
Ответ на: комментарий от sanyock

хотя идея хорошая по другой причине, читайте между строк, это прям новая организационная форма для бузниса )

sanyock ★★
() автор топика
Ответ на: комментарий от sanyock

Хотел еще уточнить по экономике майнинга,

вот если появляется у кого-то ASICS:

https://www.amazon.com/Antminer-~4-73TH-25W-Bitcoin-Miner/dp/B014OGCP6W

то якобы его рентабельность расчитывается примерно так:

http://profit.hashflare.eu/en/?ref_id=539A7635

А учтено ли там повышение сложности, устаревание оборудования и появление новых более конкурентноспособных моделей, затраты на электричество и т.п.?

С моей точки зрения, ASICS в лучшем случае возвращает свою себестоимость и затраты на электроэнергию, и может быть, дает небольшой но не бесконечный бонус за риск и вложение фиата в его стоимость в виде повышения курса Биткоин.

sanyock ★★
() автор топика
Ответ на: комментарий от sanyock

С моей точки зрения, ASICS в лучшем случае возвращает свою себестоимость и затраты на электроэнергию, и может быть, дает небольшой но не бесконечный бонус за риск и вложение фиата в его стоимость в виде повышения курса Биткоин.

А тупые китайцы строят фермы чиста по приколу? Если электричество и аренда дешевая то все нормально с возвратом.

KillTheCat ★★★★★
()
Ответ на: комментарий от KillTheCat

Тогда, пожалуйста, подскажите, какой недорогой ASICS на пробу в пределах $100-$200 нынче актуален по различным параметрам типа вычислительной мощности, потребляемой мощности, совместимости с разными криптовалютами и другими ништяками?

Такие дешевые, наверно, даже и нерентабельные?

sanyock ★★
() автор топика
Последнее исправление: sanyock (всего исправлений: 1)
Ответ на: комментарий от KillTheCat

Пффф, забашляют десять лимонов$ маинтейнеру что бы он собрал пакетик с нужными дополнениями и всё, какое то время всё будет тихо мирно пока кто-то пытливый не найдёт вкладочку, а майнтейнер такой, ооой а я не знаю как так произошло меня взломаали )))

Dron ★★★★★
()
Ответ на: комментарий от KillTheCat

А тупые китайцы строят фермы чиста по приколу? Если электричество и аренда дешевая то все нормально с возвратом.

Нет за электроэнергию они платят миллионы в месяц, выручка должна составлять (затраты * 2)+(прибыль - затраты на расширение мощностей - затраты на поддержку) = относительно «небольшая» чистая прибыль, но не требующая особой мороки.

Dron ★★★★★
()
Ответ на: комментарий от sanyock

Майни сколько хочешь и чём хочешь, ты можешь пятихатки на принтере распечатывать и растапливаь ими камин представляя что ты крутой чел теша своё ЧСВ :D , а вот уже на счёт использования это другая история, биткоин по закону это денежный сурогат, поэтому использовать его как валюту запрещено. (но я точно не в курсе загугли законы нужные и почитай)

Dron ★★★★★
()
Ответ на: комментарий от Dron

а где официально признанный список несурогатов?

когда был принят закон про сурогаты? где то года 4 назад? обратной силы он ведь не имеет?

sanyock ★★
() автор топика
Последнее исправление: sanyock (всего исправлений: 1)
Ответ на: комментарий от sanyock

С моей точки зрения, ASICS в лучшем случае возвращает свою себестоимость и затраты на электроэнергию, и может быть, дает небольшой но не бесконечный бонус за риск и вложение фиата в его стоимость в виде повышения курса Биткоин.

Не хочется вас отговаривать от желания погрузиться в интересную и перспективную тему с головой и пощупать самому как всё работает, но майнинг индивидуалами уже давно бесперспективен, хотя может и возможны варианты. Но действительно заработать вам вряд ли удастся.
Кстати, интересно самому предложения в сети вложиться в готовые фермы по майнингу все сплошь развод или есть реально работающие.

poshat ★★★
()
Ответ на: комментарий от poshat

Очень много видел упоминаний о невыгодности, да и понятно, как может быть выгодна данная сфера деятельности, когда порог вхождения почти не зависит от квалификации, а зависит только от способности купить одну из саммых дорогих и эффективных моделей ASICS, т.е. от толщины кошелька.

Просто иногда хочется поэкспериментировать из обычного любопытства как с ардуиной без учета рентабельности генерации коинов на устройстве небольшой вычислительной и потребляемой мощности.

sanyock ★★
() автор топика
Последнее исправление: sanyock (всего исправлений: 2)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.