Как Bitcoin кошельки защищены от диверсии разработчиков локального кошелькового софта?

В репах - тем что собирают из исходников, а внедрить скрытый код в исходники практически не реально.
А вот бинарники никак не защищены, но от них пострадают только ньюфаги - биржи и крупные держатели собирают ПО сами и используют оффлайновые кошельки.

С тем же успехом можно протроянить любое популярное закрытое ПО, например вин10 или хром.

В репах - тем что собирают из исходников, а внедрить скрытый код в исходники практически не реально.

Никогда не понимал почему все уверены что нереально. Реально, почему бы и нет?

Понятное дело что может быть нарушена репутация. Но разово сделать, спилить бабла, потом сказать что «скандал! нас похакали!» всегда можно если очень надо.

Конечно на практике основания доверять всем этим репам есть вполне достаточные. Я просто о том что какой-то совсем жесткой гарантии нету.

В данном случае есть огромное число контрибьютеров и тех кто мержит код не бездумно. Слишком много свидетелей, как ты убедишь всех молчать?

Я больше имел ввиду не коммитить что-то плохое, а собрать бинарь локально с незакомиченым патчем и втихаря впихнуть в реп.

А если создадут новый клиент полузакрытой группой разработчиков, заранее прикормленных с целью долгосрочного приручения пользователей, а потом атаки на них с заведомо нехорошими целями?
Может быть, форк существующего клиент + вложение NN K$ на то, чтобы он стал более лучшим и ламповым, а потом «конфискация» у наивных пользователей NNN K$ ?

Или если объемы системы сильно вырастут, и большинство разработчиков основных популярных клиентов или либ попадет под какое нить влияние ( психотропное, фарма, генераторы, лучи, телепатия, шантаж и т.п. )

Но это не внедрение в исходный код, такое конечно сработает. Никто не станет ковырять бинарный опенсорс дизассемблером.

Такое возможно, учитывая насколько bitcoin core не удобен альтернативных клиентов вышло море. Ну уведут они 1% от 1% битков и что? Мир не рухнет.

А зря не станет

создадут новый клиент полузакрытой группой разработчиков, заранее прикормленных с целью долгосрочного приручения пользователей, а потом атаки на них с заведомо нехорошими целями

Как бы Биткоин p2p, если его можно атаковать, то может атаковать кто угодно, у разработчиков нету преимущества, как например у банка, что есть центральный сервер. Если у софта есть бекдор, то его найти может и сторонний хакер. Денег в криптовалютах много, очень много, поэтому что можно сломать то ломают и получают сказочное вознаграждение, а если что-то до сих пор не сломали, есть конечно вероятность, что бекдор слишком хитро сделан, но она минимальна.

А с чего ты взял, что биткойн защищен?

Как бы Биткоин p2p,

Причем тут P2P?

Речь о том, что неправильный клиент, имея доступ к пользовательским ключам, может выдавать неправильные с точки зрения пользователя инструкции, но абсолютно коректные с точки зрения протокола и других p2p узлов, например раздаривать коины пользователя кому попало.

Ну это как бы то, к чему всегда стремятся пользователи любых денежных единиц.

И даже на сайте биткоин много блаблабла про защиту и безопасность, однако мне кажется, не все так просто.

Причем тут P2P?

Топик звучит так:

Как Bitcoin и другие популярные крипто защищены от диверсии разработчиков?

Биток и прочая крипота это p2p технология.

Но в посте ты пишешь про реализации кошельков и пр. Видимо он только топик читал. Поправь его на:

Как Bitcoin кошельки и другие популярные крипто-кошельки защищены от диверсии разработчиков?

верно. исправил

Где гарантия, что тебя завтра не вальнут, когда ты с собачкой пойдёшь погулять? Нет ни у кого никаких гарантий. Это правильные пацаны ещё в самом начале просекли и поэтому у любого софта первым делом большими буквами написано: ABSOLUTELLY NO WARRANTY!

Так шо забудь про какие-либо гарантии в этом мире вообще и в опен-сорс софте в частности. А всё что есть, это чистой воды химера.

Касательно битка и его клиентов и софта кошельков, то да, если купишь всех разрабов, то запросто выкатят клиент, который будет палить твои приватные ключи.

Но это быстро просекут и далее китаёзы вышлют своих триад к этим разрабам. Что с ними будет потом сам понимаешь.

Меры защиты в общем-то простые, бери софт по которому нет претензий, ставь на оффлайн комп и там подписывай транзакции. Никто тя не наколет при такой схеме, ну кроме физического паяльника в заднице.

Так шо забудь про какие-либо гарантии в этом мире вообще и в опен-сорс софте в частности. А всё что есть, это чистой воды химера.

Все же есть определенные методики для снижения вероятности наступления неприятных ситуаций

Например, современный linups с ядром grsec более защищен от атак через браузер, чем венда 95.

Мне интересно, возможна ли такая атака (невоенными средствами на весь шарик, но возможно с участием спецслужб) через разработчиков базовых клиентов (кошельков) или кого-либо еще, чтобы произошел такой же обвал Bitcoin курса как egold 2008/2009 с последующим исчезновением желающих менять Bitcoin на фиат или другие ценности, т.е. полным обесцениванием Bitcoin, но не по чисто рыночным причинам, а например по причинам атаки сильных спецслужб типа ЦРУ, ФБР, ЗОГ и т.п.

Ну предположим даже, что ты скупил всех разрабов популярного софта, реально всё спланировал и таки надыбал почти все приватные ключи.

Дальше то что? Если ты единоразово всех попытаешься кинуть, то просто откатят болкчейн до момента твоего кидалова и дальше продолжат работать (привет этериум!).

Если же попытаешься накалывать втихаря, народ это сразу запалит и будут выяснять, в чём собсно дело. Все так же полезут смотреть, что не так с клиентами. И опять же твоё кидалово вычислят.

Пойми главное - биток это совсем не про курс битка по отношению к фиату. Это идея независимости от третьей стороны. Никакой egold и прочая параша тут даже рядом не стояла.

но не по чисто рыночным причинам, а например по причинам атаки сильных спецслужб типа

Всё возможно. Достаточно объявить реальную войну крипте, как например наркоте, по всему шарику. Курс после этого возможно и просядет. Но тут еще бабушка на двое сказала.

В настоящее время государства еще пока совсем не видят для себя какой-либо серьёзной угрозы со стороны крипты.

Да ФСБ может начать всем просто реально яйца отрывать за любое отношение к битку, например. Возможно? Возможно. Но, думаю, при таком уровне наездов, в мире уже будут несколько иные проблемы для граждан, нежели курс битка.

Да ФСБ может начать всем просто реально яйца отрывать за любое отношение к битку, например. Возможно?

Сравните трудоемкость отрывания яиц у группы разработчиков и у всей страны или шарика.

какой вы мнительный батенька и не верите в финансовые пирамиды - у них джентельмен верит джентельмену наслово...

Никак. Уже было несколько альтернативных сайтов с кошельками биткоина, с которых много уводили, впрочем как и бирж. В зависимости от масштаба заканчивается, это обычно тем, кто курс падает на какое-то время.

интересно как в этом плане Биткоин защищен от атак со стороны влиятельных организаций

Тут скорей про пляски с segwit история подойдет

Мне интересно, возможна ли такая атака (невоенными средствами на весь шарик, но возможно с участием спецслужб) через разработчиков базовых клиентов (кошельков) или кого-либо еще, чтобы произошел такой же обвал Bitcoin курса как egold 2008/2009 с последующим исчезновением желающих менять Bitcoin на фиат или другие ценности, т.е. полным обесцениванием Bitcoin

Только если найдешь баг в протоколе позволяющий всех нагнуть. Ну или научишься брутфорсить приватные ключи за разумное время. А такой атакой ты накроешь, ну максимум, 0.01% крипты.

Было уже крупное падение когда гокс соскамился и ничего.

забыл собственную жадность разработчиков с доступом к важным репам :)

Дальше то что? Если ты единоразово всех попытаешься кинуть, то просто откатят болкчейн до момента твоего кидалова и дальше продолжат работать (привет этериум!).

а вот кто и как эту процедуру будет делать, интересный момент

А что если у тебя компилятор, который может собрать клиент встроив бэкдор и может собрать другой компилятор, встроив генератор бэкдоров для биткоин клиента и генератор генераторов бэкдоров для компилятора?

Было уже крупное падение когда гокс соскамился и ничего.

Т.е. с криптой возможна атака только на кошелек, а не на всю сеть целиком, если предположить, что в протоколе и криптографии изьянов нет? Писали еще что-то про угрозу со стороны квантовых компьютеров, но мол Биткоин предусмотрел и постквантовое будущее.

Я так понимаю вебкошельки Биткоин напоминают e-gold в том смысле, что они - интерфейсы к ценностям, которые хранятся на сторадже узла, и занимают примерно около 300 гиг.

И как раз здесь возможно кидалово или разрушение собственности пользователей третьими лицами? За счет утечки приватного ключа владельцев коинов? Для вебкошельков ключ хранится на сервере вебкошелька или каждый раз передается с компа пользователя или вообще все нитак ? )

забыл собственную жадность разработчиков с доступом к важным репам :)

верно, как то не подумал )

А что если у тебя компилятор, который может собрать клиент встроив бэкдор и может собрать другой компилятор, встроив генератор бэкдоров для биткоин клиента и генератор генераторов бэкдоров для компилятора?

генератор компилятора компиляторов он протоколом не предусмотрен

Какая разница, если у тебя уже спёрли деньги через клиент собранный похаченным компилятором?

Какая разница, если у тебя уже спёрли деньги через клиент собранный похаченным компилятором?

Говорят, у NSA достаточно бэкдоров в сетевых стэках, так что теперь линупсом не пользоваться? А чем тогда пользоваться? Windows 10 ?

Тем, чему доверяешь.

А вот говорить, что внедрить куда-то код почти не реально, я бы не стал. Всё реально и вполне юзается определёнными людьми. Просто вы ещё об этом не знаете.

Наверно, было бы неплохо, чтобы Биткоин клиенты проходили перед релизом какой нить автоматизированный паблик текст, результаты прохождения которого были бы доступны всем для ознакомления. Хотя тайм бомбу или другую сетевую закладку это конечно не исключает.

Вот смотри, допустим на разработчика напал приступ жадности, и он закоммитил код, который при запуске отправляет все деньги на его кошелёк, залил обновление в репозиторий. Или злоумышленник в маске ворвался к нему в дом, поимел физический доступ к компу и сделал это за него. Транзакции все публичные же, куда он их потом выведет, так, чтобы его органы за жопу не взяли потом? В общем, те же механизмы и защищают, что и с обычной банковской системой, карательная машина государства

А вот говорить, что внедрить куда-то код почти не реально

Кто говорит? Куда-то реально, куда-то менее реально.

Наверно, чем проще система, тем нереальнее внедрить?

Транзакции все публичные же, куда он их потом выведет, так, чтобы его органы за жопу не взяли потом?

Только деньги могут зависнуть на неопределенное количество лет.
Он может просто затаиться, а потом придумывать способы слива.

Ладно, но кто правку внёс в исходники, отследить можно будет

А ты посмотри на какую ветку комментариев я отвечаю. Я даже подскажу — первый комментарий в этом треде.

Да, в исходники попасть сложно, из-за «глаз», о которых говорил Линус. Но не нереально. Возможно что-то уже есть — кодовая база биткоина немаленькая. Чтобы понять как оно работает в исходниках уйдёт немало времени, а чтобы ещё найти специально заложенную уязвимость...

А если комьюнити может в любой момент октатиться, то как быть законопослушным пользователям, кто совершил одновременно свои крупные операции, жизненно важные для него.

Как пользоваться системой, в которой могут отменить транзакции, названные нереверсивными?

Ладно, но кто правку внёс в исходники, отследить можно будет

Разработчики проходят полную идентификацию по паспорту и другим параметрам?

Или это может быть аноним из даркнет?

надоже прям темы отслеживают:

https://aftershock.news/?q=node/573390

только, что это за криптовалюта без майнинга? имхо теряется важнейшее свойство контроля общественности за эмиссией
они там изначально затарятся коинами по самые куршавели, да еще и новых смогут нагенерировать сколько захотят

почти фиат только в профиль

хотя идея хорошая по другой причине, читайте между строк, это прям новая организационная форма для бузниса )

Хотел еще уточнить по экономике майнинга,

вот если появляется у кого-то ASICS:

https://www.amazon.com/Antminer-~4-73TH-25W-Bitcoin-Miner/dp/B014OGCP6W

то якобы его рентабельность расчитывается примерно так:

http://profit.hashflare.eu/en/?ref_id=539A7635

А учтено ли там повышение сложности, устаревание оборудования и появление новых более конкурентноспособных моделей, затраты на электричество и т.п.?

С моей точки зрения, ASICS в лучшем случае возвращает свою себестоимость и затраты на электроэнергию, и может быть, дает небольшой но не бесконечный бонус за риск и вложение фиата в его стоимость в виде повышения курса Биткоин.

С моей точки зрения, ASICS в лучшем случае возвращает свою себестоимость и затраты на электроэнергию, и может быть, дает небольшой но не бесконечный бонус за риск и вложение фиата в его стоимость в виде повышения курса Биткоин.

А тупые китайцы строят фермы чиста по приколу? Если электричество и аренда дешевая то все нормально с возвратом.

Тогда, пожалуйста, подскажите, какой недорогой ASICS на пробу в пределах $100-$200 нынче актуален по различным параметрам типа вычислительной мощности, потребляемой мощности, совместимости с разными криптовалютами и другими ништяками?

Такие дешевые, наверно, даже и нерентабельные?

Пффф, забашляют десять лимонов$ маинтейнеру что бы он собрал пакетик с нужными дополнениями и всё, какое то время всё будет тихо мирно пока кто-то пытливый не найдёт вкладочку, а майнтейнер такой, ооой а я не знаю как так произошло меня взломаали )))

А тупые китайцы строят фермы чиста по приколу? Если электричество и аренда дешевая то все нормально с возвратом.

Нет за электроэнергию они платят миллионы в месяц, выручка должна составлять (затраты * 2)+(прибыль - затраты на расширение мощностей - затраты на поддержку) = относительно «небольшая» чистая прибыль, но не требующая особой мороки.

Забыл спросить, Майнинг на ASICS и вообще не запрещен в РФ?

То пишут разрешен: https://vc.ru/20377-fns-not-against-cryptocurrencies

то будет запрещен:

https://vc.ru/14134-minfin-bitcoin

Они бы хоть определились бы там

ну бывают специально оставленные implementation bugs. например: https://makebitcoingreatagain.wordpress.com/2017/02/18/is-the-zcoin-bug-in-ch...

но софт битка (bitcoin core) просмотрели думаю 500100 раз уже на наличие закладок в реализации протокола.