LINUX.ORG.RU

Как Bitcoin кошельки защищены от диверсии разработчиков локального кошелькового софта?

 ,


0

3

Пожалуйста, объясните вкратце.

Просто я помню, как рушился рынок egold подобных emoney.

И интересно как в этом плане Биткоин защищен от атак со стороны влиятельных организаций.

Вопросы примерно такие:

1) Какие ограничения для создания клиента Bitcoin? Только соблюдение протокола обмена данными и соответствующая квалификация разработчиков?

2) Кто-то проводит аудит кода популярных клиентов?

3) Где гарантия от диверсий в коллективе разработчиков того или иного клиента? Например, давление на разработчиков, или создание нового клиента, заведомо со злым умыслом, подмена клиента на официальном сайте и т.п.?

Возможно вопросы нубские, не пользовался еще криптовалютами.

Например, СКЗИ нужно сертифицировать в ФСБ, отправлять на фирменном носителе надежной ТК и т.п.

А тут все открыто, что с одной стороны хорошо, чем то напоминает OpenGPG, а с другой стороны есть некоторые сомнения в долгожительстве ведущих криптовалют, если на них будут осуществлены атаки со стороны своего же нативного софта и пользователи при этом лишатся своих коинов.

В репах - тем что собирают из исходников, а внедрить скрытый код в исходники практически не реально.
А вот бинарники никак не защищены, но от них пострадают только ньюфаги - биржи и крупные держатели собирают ПО сами и используют оффлайновые кошельки.

С тем же успехом можно протроянить любое популярное закрытое ПО, например вин10 или хром.

KillTheCat ★★★★★ ()
Ответ на: комментарий от KillTheCat

В репах - тем что собирают из исходников, а внедрить скрытый код в исходники практически не реально.

Никогда не понимал почему все уверены что нереально. Реально, почему бы и нет?

Понятное дело что может быть нарушена репутация. Но разово сделать, спилить бабла, потом сказать что «скандал! нас похакали!» всегда можно если очень надо.

Конечно на практике основания доверять всем этим репам есть вполне достаточные. Я просто о том что какой-то совсем жесткой гарантии нету.

vertexua ★★★★★ ()
Ответ на: комментарий от vertexua

В данном случае есть огромное число контрибьютеров и тех кто мержит код не бездумно. Слишком много свидетелей, как ты убедишь всех молчать?

KillTheCat ★★★★★ ()
Последнее исправление: KillTheCat (всего исправлений: 1)
Ответ на: комментарий от KillTheCat

Я больше имел ввиду не коммитить что-то плохое, а собрать бинарь локально с незакомиченым патчем и втихаря впихнуть в реп.

vertexua ★★★★★ ()
Ответ на: комментарий от KillTheCat

А если создадут новый клиент полузакрытой группой разработчиков, заранее прикормленных с целью долгосрочного приручения пользователей, а потом атаки на них с заведомо нехорошими целями?
Может быть, форк существующего клиент + вложение NN K$ на то, чтобы он стал более лучшим и ламповым, а потом «конфискация» у наивных пользователей NNN K$ ?

sanyock ★★ ()
Последнее исправление: sanyock (всего исправлений: 2)
Ответ на: комментарий от sanyock

Или если объемы системы сильно вырастут, и большинство разработчиков основных популярных клиентов или либ попадет под какое нить влияние ( психотропное, фарма, генераторы, лучи, телепатия, шантаж и т.п. )

sanyock ★★ ()
Последнее исправление: sanyock (всего исправлений: 1)
Ответ на: комментарий от vertexua

Но это не внедрение в исходный код, такое конечно сработает. Никто не станет ковырять бинарный опенсорс дизассемблером.

KillTheCat ★★★★★ ()
Ответ на: комментарий от sanyock

Такое возможно, учитывая насколько bitcoin core не удобен альтернативных клиентов вышло море. Ну уведут они 1% от 1% битков и что? Мир не рухнет.

KillTheCat ★★★★★ ()
Ответ на: комментарий от sanyock

создадут новый клиент полузакрытой группой разработчиков, заранее прикормленных с целью долгосрочного приручения пользователей, а потом атаки на них с заведомо нехорошими целями

Как бы Биткоин p2p, если его можно атаковать, то может атаковать кто угодно, у разработчиков нету преимущества, как например у банка, что есть центральный сервер. Если у софта есть бекдор, то его найти может и сторонний хакер. Денег в криптовалютах много, очень много, поэтому что можно сломать то ломают и получают сказочное вознаграждение, а если что-то до сих пор не сломали, есть конечно вероятность, что бекдор слишком хитро сделан, но она минимальна.

goingUp ★★★★★ ()
Ответ на: комментарий от goingUp

Как бы Биткоин p2p,

Причем тут P2P?

Речь о том, что неправильный клиент, имея доступ к пользовательским ключам, может выдавать неправильные с точки зрения пользователя инструкции, но абсолютно коректные с точки зрения протокола и других p2p узлов, например раздаривать коины пользователя кому попало.

sanyock ★★ ()
Ответ на: комментарий от anonymous

Ну это как бы то, к чему всегда стремятся пользователи любых денежных единиц.

И даже на сайте биткоин много блаблабла про защиту и безопасность, однако мне кажется, не все так просто.

sanyock ★★ ()
Ответ на: комментарий от sanyock

Причем тут P2P?

Топик звучит так:

Как Bitcoin и другие популярные крипто защищены от диверсии разработчиков?

Биток и прочая крипота это p2p технология.

Но в посте ты пишешь про реализации кошельков и пр. Видимо он только топик читал. Поправь его на:

Как Bitcoin кошельки и другие популярные крипто-кошельки защищены от диверсии разработчиков?

BruteForce ★★★ ()

Где гарантия, что тебя завтра не вальнут, когда ты с собачкой пойдёшь погулять? Нет ни у кого никаких гарантий. Это правильные пацаны ещё в самом начале просекли и поэтому у любого софта первым делом большими буквами написано: ABSOLUTELLY NO WARRANTY!

Так шо забудь про какие-либо гарантии в этом мире вообще и в опен-сорс софте в частности. А всё что есть, это чистой воды химера.

Касательно битка и его клиентов и софта кошельков, то да, если купишь всех разрабов, то запросто выкатят клиент, который будет палить твои приватные ключи.

Но это быстро просекут и далее китаёзы вышлют своих триад к этим разрабам. Что с ними будет потом сам понимаешь.

Меры защиты в общем-то простые, бери софт по которому нет претензий, ставь на оффлайн комп и там подписывай транзакции. Никто тя не наколет при такой схеме, ну кроме физического паяльника в заднице.

anonymous ()
Ответ на: комментарий от anonymous

Так шо забудь про какие-либо гарантии в этом мире вообще и в опен-сорс софте в частности. А всё что есть, это чистой воды химера.

Все же есть определенные методики для снижения вероятности наступления неприятных ситуаций

Например, современный linups с ядром grsec более защищен от атак через браузер, чем венда 95.

Мне интересно, возможна ли такая атака (невоенными средствами на весь шарик, но возможно с участием спецслужб) через разработчиков базовых клиентов (кошельков) или кого-либо еще, чтобы произошел такой же обвал Bitcoin курса как egold 2008/2009 с последующим исчезновением желающих менять Bitcoin на фиат или другие ценности, т.е. полным обесцениванием Bitcoin, но не по чисто рыночным причинам, а например по причинам атаки сильных спецслужб типа ЦРУ, ФБР, ЗОГ и т.п.

sanyock ★★ ()
Последнее исправление: sanyock (всего исправлений: 4)
Ответ на: комментарий от sanyock

Ну предположим даже, что ты скупил всех разрабов популярного софта, реально всё спланировал и таки надыбал почти все приватные ключи.

Дальше то что? Если ты единоразово всех попытаешься кинуть, то просто откатят болкчейн до момента твоего кидалова и дальше продолжат работать (привет этериум!).

Если же попытаешься накалывать втихаря, народ это сразу запалит и будут выяснять, в чём собсно дело. Все так же полезут смотреть, что не так с клиентами. И опять же твоё кидалово вычислят.

Пойми главное - биток это совсем не про курс битка по отношению к фиату. Это идея независимости от третьей стороны. Никакой egold и прочая параша тут даже рядом не стояла.

anonymous ()
Ответ на: комментарий от sanyock

но не по чисто рыночным причинам, а например по причинам атаки сильных спецслужб типа

Всё возможно. Достаточно объявить реальную войну крипте, как например наркоте, по всему шарику. Курс после этого возможно и просядет. Но тут еще бабушка на двое сказала.

В настоящее время государства еще пока совсем не видят для себя какой-либо серьёзной угрозы со стороны крипты.

Да ФСБ может начать всем просто реально яйца отрывать за любое отношение к битку, например. Возможно? Возможно. Но, думаю, при таком уровне наездов, в мире уже будут несколько иные проблемы для граждан, нежели курс битка.

anonymous ()
Ответ на: комментарий от anonymous

Да ФСБ может начать всем просто реально яйца отрывать за любое отношение к битку, например. Возможно?

Сравните трудоемкость отрывания яиц у группы разработчиков и у всей страны или шарика.

sanyock ★★ ()

какой вы мнительный батенька и не верите в финансовые пирамиды - у них джентельмен верит джентельмену наслово...

amd_amd ★★★★ ()

Никак. Уже было несколько альтернативных сайтов с кошельками биткоина, с которых много уводили, впрочем как и бирж. В зависимости от масштаба заканчивается, это обычно тем, кто курс падает на какое-то время.

интересно как в этом плане Биткоин защищен от атак со стороны влиятельных организаций

Тут скорей про пляски с segwit история подойдет

anonymous_sama ★★★★★ ()
Ответ на: комментарий от sanyock

Мне интересно, возможна ли такая атака (невоенными средствами на весь шарик, но возможно с участием спецслужб) через разработчиков базовых клиентов (кошельков) или кого-либо еще, чтобы произошел такой же обвал Bitcoin курса как egold 2008/2009 с последующим исчезновением желающих менять Bitcoin на фиат или другие ценности, т.е. полным обесцениванием Bitcoin

Только если найдешь баг в протоколе позволяющий всех нагнуть. Ну или научишься брутфорсить приватные ключи за разумное время. А такой атакой ты накроешь, ну максимум, 0.01% крипты.

Было уже крупное падение когда гокс соскамился и ничего.

KillTheCat ★★★★★ ()
Ответ на: комментарий от anonymous

Дальше то что? Если ты единоразово всех попытаешься кинуть, то просто откатят болкчейн до момента твоего кидалова и дальше продолжат работать (привет этериум!).

а вот кто и как эту процедуру будет делать, интересный момент

Harald ★★★★★ ()
Ответ на: комментарий от KillTheCat

А что если у тебя компилятор, который может собрать клиент встроив бэкдор и может собрать другой компилятор, встроив генератор бэкдоров для биткоин клиента и генератор генераторов бэкдоров для компилятора?

a1batross ★★★★★ ()
Последнее исправление: a1batross (всего исправлений: 1)
Ответ на: комментарий от KillTheCat

Было уже крупное падение когда гокс соскамился и ничего.

Т.е. с криптой возможна атака только на кошелек, а не на всю сеть целиком, если предположить, что в протоколе и криптографии изьянов нет? Писали еще что-то про угрозу со стороны квантовых компьютеров, но мол Биткоин предусмотрел и постквантовое будущее.

Я так понимаю вебкошельки Биткоин напоминают e-gold в том смысле, что они - интерфейсы к ценностям, которые хранятся на сторадже узла, и занимают примерно около 300 гиг.

И как раз здесь возможно кидалово или разрушение собственности пользователей третьими лицами? За счет утечки приватного ключа владельцев коинов? Для вебкошельков ключ хранится на сервере вебкошелька или каждый раз передается с компа пользователя или вообще все нитак ? )

sanyock ★★ ()
Ответ на: комментарий от a1batross

А что если у тебя компилятор, который может собрать клиент встроив бэкдор и может собрать другой компилятор, встроив генератор бэкдоров для биткоин клиента и генератор генераторов бэкдоров для компилятора?

генератор компилятора компиляторов он протоколом не предусмотрен

sanyock ★★ ()
Ответ на: комментарий от a1batross

Какая разница, если у тебя уже спёрли деньги через клиент собранный похаченным компилятором?

Говорят, у NSA достаточно бэкдоров в сетевых стэках, так что теперь линупсом не пользоваться? А чем тогда пользоваться? Windows 10 ?

sanyock ★★ ()
Последнее исправление: sanyock (всего исправлений: 1)
Ответ на: комментарий от sanyock

Тем, чему доверяешь.

А вот говорить, что внедрить куда-то код почти не реально, я бы не стал. Всё реально и вполне юзается определёнными людьми. Просто вы ещё об этом не знаете.

a1batross ★★★★★ ()
Ответ на: комментарий от sanyock

Наверно, было бы неплохо, чтобы Биткоин клиенты проходили перед релизом какой нить автоматизированный паблик текст, результаты прохождения которого были бы доступны всем для ознакомления. Хотя тайм бомбу или другую сетевую закладку это конечно не исключает.

sanyock ★★ ()
Ответ на: комментарий от sanyock

Вот смотри, допустим на разработчика напал приступ жадности, и он закоммитил код, который при запуске отправляет все деньги на его кошелёк, залил обновление в репозиторий. Или злоумышленник в маске ворвался к нему в дом, поимел физический доступ к компу и сделал это за него. Транзакции все публичные же, куда он их потом выведет, так, чтобы его органы за жопу не взяли потом? В общем, те же механизмы и защищают, что и с обычной банковской системой, карательная машина государства

Harald ★★★★★ ()
Ответ на: комментарий от a1batross

А вот говорить, что внедрить куда-то код почти не реально

Кто говорит? Куда-то реально, куда-то менее реально.

Наверно, чем проще система, тем нереальнее внедрить?

sanyock ★★ ()
Ответ на: комментарий от Harald

Транзакции все публичные же, куда он их потом выведет, так, чтобы его органы за жопу не взяли потом?

Только деньги могут зависнуть на неопределенное количество лет.
Он может просто затаиться, а потом придумывать способы слива.

sanyock ★★ ()
Ответ на: комментарий от sanyock

А ты посмотри на какую ветку комментариев я отвечаю. Я даже подскажу — первый комментарий в этом треде.

Да, в исходники попасть сложно, из-за «глаз», о которых говорил Линус. Но не нереально. Возможно что-то уже есть — кодовая база биткоина немаленькая. Чтобы понять как оно работает в исходниках уйдёт немало времени, а чтобы ещё найти специально заложенную уязвимость...

a1batross ★★★★★ ()
Ответ на: комментарий от sanyock

А если комьюнити может в любой момент октатиться, то как быть законопослушным пользователям, кто совершил одновременно свои крупные операции, жизненно важные для него.

Как пользоваться системой, в которой могут отменить транзакции, названные нереверсивными?

sanyock ★★ ()
Ответ на: комментарий от Harald

Ладно, но кто правку внёс в исходники, отследить можно будет

Разработчики проходят полную идентификацию по паспорту и другим параметрам?

Или это может быть аноним из даркнет?

sanyock ★★ ()
Последнее исправление: sanyock (всего исправлений: 1)
Ответ на: комментарий от sanyock

надоже прям темы отслеживают:

https://aftershock.news/?q=node/573390

только, что это за криптовалюта без майнинга? имхо теряется важнейшее свойство контроля общественности за эмиссией
они там изначально затарятся коинами по самые куршавели, да еще и новых смогут нагенерировать сколько захотят

почти фиат только в профиль

sanyock ★★ ()
Ответ на: комментарий от sanyock

хотя идея хорошая по другой причине, читайте между строк, это прям новая организационная форма для бузниса )

sanyock ★★ ()
Ответ на: комментарий от sanyock

Хотел еще уточнить по экономике майнинга,

вот если появляется у кого-то ASICS:

https://www.amazon.com/Antminer-~4-73TH-25W-Bitcoin-Miner/dp/B014OGCP6W

то якобы его рентабельность расчитывается примерно так:

http://profit.hashflare.eu/en/?ref_id=539A7635

А учтено ли там повышение сложности, устаревание оборудования и появление новых более конкурентноспособных моделей, затраты на электричество и т.п.?

С моей точки зрения, ASICS в лучшем случае возвращает свою себестоимость и затраты на электроэнергию, и может быть, дает небольшой но не бесконечный бонус за риск и вложение фиата в его стоимость в виде повышения курса Биткоин.

sanyock ★★ ()
Ответ на: комментарий от sanyock

С моей точки зрения, ASICS в лучшем случае возвращает свою себестоимость и затраты на электроэнергию, и может быть, дает небольшой но не бесконечный бонус за риск и вложение фиата в его стоимость в виде повышения курса Биткоин.

А тупые китайцы строят фермы чиста по приколу? Если электричество и аренда дешевая то все нормально с возвратом.

KillTheCat ★★★★★ ()
Ответ на: комментарий от KillTheCat

Тогда, пожалуйста, подскажите, какой недорогой ASICS на пробу в пределах $100-$200 нынче актуален по различным параметрам типа вычислительной мощности, потребляемой мощности, совместимости с разными криптовалютами и другими ништяками?

Такие дешевые, наверно, даже и нерентабельные?

sanyock ★★ ()
Последнее исправление: sanyock (всего исправлений: 1)
Ответ на: комментарий от KillTheCat

Пффф, забашляют десять лимонов$ маинтейнеру что бы он собрал пакетик с нужными дополнениями и всё, какое то время всё будет тихо мирно пока кто-то пытливый не найдёт вкладочку, а майнтейнер такой, ооой а я не знаю как так произошло меня взломаали )))

Dron ★★★★★ ()
Ответ на: комментарий от KillTheCat

А тупые китайцы строят фермы чиста по приколу? Если электричество и аренда дешевая то все нормально с возвратом.

Нет за электроэнергию они платят миллионы в месяц, выручка должна составлять (затраты * 2)+(прибыль - затраты на расширение мощностей - затраты на поддержку) = относительно «небольшая» чистая прибыль, но не требующая особой мороки.

Dron ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.