Перейти к публикации

Krechet

Пользователи
  • Публикации

    83
  • Зарегистрирован

  • Посещение

Репутация

11 Обычный

1 подписчик

О Krechet

  • Звание
    Пользователь
  1. Krechet

    Детективно-загадочная история

    То что это неприкрытый пиар, это и так понятно. Меня интересует насколько верна найденная уязвимость и зависимость системы. И насколько она критична.
  2. Заранее прошу прощение, если это уже было. И прошу админов сразу удалить, если эта статья уже тут была. Найденно тут: http://emc.cc.st/detective-stun.html Детективно-загадочная история В которой участвуют dyn.com, Lochkeed Martin, Bitcoin, SIP-телефония, EmerCoin и много других людей и организаций, как известных, так и к известности не стремящихся. Доброго дня, Читатель! Хочу поделиться информацией об интересной истории, которая разворачивается на наших глазах. Мы разрабатываем и развиваем криптовалюту EmerCoin (http://emercoin.com/). Валюта существует довольно долго, но мы не стремимся к дешёвой шумихе и надуванию спекулятивного пузыря, поэтому наш продукт малоизвестен в широких массах. Хотя EMC и на бирже торгуется, и имеется обменник, и участие в ряде проектов. Детали тут: http://emercoin.com/emercoin-services/ Основные усилия мы вкладываем не в шумиху, а в развитие технического превосходства, надежности, стабильности и прочего в том же роде. Началась же история с простого и банального факта. Анализируя исходный код, унаследованный нами от PeerCoin-a (а им в свою очередь от BitCoin-a) мы обнаружили часть кода, где происходит получение внешнего IP адреса. Код написан был явно впопыхах, и для получения внешнего IP обращается к двум серверам, адреса которых "вшиты" в исходный код программы-кошелька: http://checkip.dyndns.org http://www.showmyip.com Мы удивились, и решили проверить, как современный BitCoin справляется с этой задачей. И удивились ещё больше когда увидели, что старый код от Сатоши продолжает использоваться до сих пор, без каких бы то ни было изменений. Смотрите: https://github.com/bitcoin/bitcoin/blob/master/src/net.cpp, function GetMyExternalIP() Причём продолжает использоваться как в самом Биткоине, так и во всех бесчисленных альтернативных криптовалютах, так или иначе базирующихся на оригинальном коде от Сатоши. Небольшое исследование выяснило, что сервер http://www.showmyip.com в настоящее время недоступен, и все запросы кошельков за IP обрабатываются единственным оставшимся сервером http://checkip.dyndns.org. Осознав этот факт, мы были просто шокированы. Подумать только! Новая экономика, декларируемая децентрализованность, полная независимость от правительств, многомиллиардные капиталы, одни правительства не знают, что с этим делать, другие - принимают какие-то законы.. А весь сетевой протокол этой новой экономики висит на одном-единственном ржавом гвозде по имени http://checkip.dyndns.org, скромно торчащем из карты штата New Hampshire! Естественно, мы стали исследовать, обращал ли кто-либо внимание на этот вопиющий факт зависимости всей сети от единственного сервиса, предоставляемого какой-то небольшой и малоизвестной американской компанией, не входящей в SP500. И обнаружили ряд дискуссий и запросов на устранение этой уязвимости, например: www.reddit.com/r/Bitcoin/comments/29zx7z/bitcoin_core_uses_showmyip_as_a_centralized_hard/ https://github.com/bitcoin/bitcoin/pull/3461 Однако, ответы разработчиков биткоина сводились к банальному: "Не обращайте внимания, и так работает, и даже если сервис будет недоступен для кого-то, ничего страшного не случится. Ну какие-то клиенты не смогут установить прямое соединение.. Но это же мелочи!" При этом игнорировались два факта: Если сервер выйдет из строя, то сеть не рухнет, но прямые связи будут устанавливаться с пониженной вероятностью, что снизит связность сети, и, как следствие, надёжность. Это неприятно, но может быть, и не критично. Каждый раз, когда кошелёк запрашивает свой внешний IP у http://checkip.dyndns.org, он, естественно, рапортует своей сигнатурой: "Эй! На этом IP-address запустился биткоин-кошелёк!". А это уже серьёзно. Ибо люди обычно запускают кошельки, когда им надо куда-то что-то заплатить или посмотреть приход. И связать время транзакций (которые все публичны) с временем запуска кошелька, тем самым получив IP кошелька, не так уж сложно. Ну а по IP можно узнать много интересного о подписчике, да.. Вы еще не до конца поняли, что это значит? А значит это то, что: Весь криптовалютный мир в любой момент может быть разрушен по воле нескольких человек, движением пальца одного-единственного админа! Этот таинственный админ знает каждого владельца каждого кошелька. Мы осознали, какую серьёзную угрозу анонимности и прочим заявленным свойствам биткоина несёт эта централизация, и решили избавиться от неё в нашем проекте. Вместо единственного WEB-сайта мы использовали список из 263 STUN-серверов, которые помогают пройти через NAT-ы другой пиринговой сети - SIP-телефонии (ибо каждый SIP-телефон является и клиентом, и сервером). Для получения внешнего IP наш клиент обращается к случайным STUN-серверам, разбросанным по всему миру. Поэтому накопление истории запросов в любом из них уже не имеет смысла, так как в лучшем случае, сервер сможет собрать менее полпроцента случайных адресов, что делает собранный список практически бесполезным. Кроме того, мы приняли меры для того, чтоб избавиться от явной или постоянной сигнатуры запроса, и запрос EmerCoin-а сложно отличить от запроса любого SIP-аппарата или телефонного коммутатора. Таким образом, мы достигли своих целей: Избавились от централизованного сервера, в сотни раз увеличили надёжность сети, и удалили механизм, докладывающий на dyndns о местоположении кошельков. После этого сделали анонс технического решения и обновлённого Emercoin-а как в нашей ветке форума, так и на форумах биткоина. В анонсе мы описали недостатки текущей системы, и наше решение. Анонсы здесь: Русскоязычные: https://forum.bits.media/index.php?/topic/3408-emercoin/page-45&do=findComment&comment=189327 https://forum.bits.media/index.php?/blog/38/entry-258-stun-protokol-dlia-kriptovaliuty/ Англоязычные: https://bitcointalk.org/index.php?topic=736721 https://bitcointalk.org/index.php?topic=362513.msg8359826#msg8359826 https://bitcointalk.org/index.php?topic=134731.0 О пункте 5: Кто-то когда-то тоже спрашивал "А не добавить ли STUN", но и его разработчики биткоина просто проигнорировали. И тут начались настоящие чудеса: Сообщение [3] было оперативно перенесено администраторами из широко читаемого технического форума в форума альтернативных валют, которые мало кому интересны. Хотя сообщение как раз имеет прямое указание на техническую уязвимость биткоина. На сообщение же [5] разработчики биткоина нам прямо указали, что не стоит поднимать эту старую тему: Also, your post is barely on topic and you've bumped a pretty old thread. Please don't do that. То есть налицо видна тенденция к замиинанию темы биткоинщиками. Интересно также отношение различных комментаторов к нашему нововведению. Разработчики биткоина недовольны, и считают это глупостью ( Thats a really foolish method ). Зато другие люди, не связанные напрямую с разработкой и поддержкой биткоина, рассматривают наше нововведение как полезное и нужное. Вот парадокс! Мы заинтересовались причиной такой негативной реакции строго очерченной группы людей, и начали выяснять, что ж такого интересного представляет собою так любимый ими dyndns.org, с которым они никак не хотят расставаться. Давным-давно это была небольшая компания, предоставлявшая динамический DNS мелким пользователям бесплатно или за небольшую сумму. И если эта мелкая компания в 2010-м покупала мелкие бизнесы "из одного программиста и одного сервера" своей направленности (динамический DNS, и т.п.), то потом, после паузы, в 2013м фирма резко выросла, и стала скупать компании, владеющие собственными технологиями: http://en.wikipedia.org/wiki/Dyn_%28company%29#Acquisitions Заметим - технологиями мониторинга интернета, к динамическому DNS отношения не имеющими. А в начале 2014го, примерно как раз, когда были слушания в конгрессе США, и биткоин держался свыше $1000, компания закрыла поддержку бесплатных акаунтов: http://dyn.com/blog/why-we-decided-to-stop-offering-free-accounts А на платные взвинтила цену так, что по сравнимой цене можно арендовать статический IP. Таким образом, по сути, компания закрыла свой изначальный бизнес... Весь.. Кроме http://checkip.dyndns.org, который так любят разработчики биткоина. И который, по сути - технология мониторинга активности пользователей биткоин-кошельков. Возникает законное любопытство - откуда у компании появилось сразу столько денег, что она закрывает основной бизнес и бросает клиентскую базу, и при том в течение года скупает 3 компании с технологиями мониторинга сети, в добавок к "на халяву доставшейся от Сатоши"? Но понятно, что на этот вопрос вряд ли кто нам даст вразумительный ответ. И, напоследок, мы решили выяснить, что же случилось с другим адресом, который использовал когда-то Сатоши - http://www.showmyip.com, и который сейчас почему-то не работает. И выяснилось, что он принадлежит некому Уэсли Кензи (Wesley Kenzie aka Securikai) из Канады, что подтверждается данными whois. Чем он занмался - http://safezone.cc/threads/tajpskvotter-vymogatel-popal-na-million-dollarov.18030/ Но когда он перебежал дорогу Lochkeed Martin на почве киберсквоттинга, то был окорочен. Как раз вовремя. Только его твиттер и остался: https://twitter.com/securikai Вот какие интересные совпадения бывают, не правда ли?
  3. Krechet

    Майнить bitcoin проще с ASIC

    Да ладно?=)КЭП, я рад, что вы с нами=) ( это добрая шутка) =)
  4. Krechet

    Кошелек Bitcoin (Bitcoin-QT, Bitcoin Core)

    , По непроверенной инфе им смогли воспользоватся только те, кто ломанули сервак 50BTC.
  5. Krechet

    Кошелек Bitcoin (Bitcoin-QT, Bitcoin Core)

    , О ещё один ОЧЕНЬ хитрый товарищ. Увидел на своём счету Бальшую сумму к которой он не имеет никакого отношения и сразу обрадовался. Уже тысячу раз писалось=) И да, халявы не будет. Забудь. @AlxSm, Огромное спасибо. Танцы с бубном помогли. Смог вытащить код, для этого запустил кошель с новым валлет.дат, и НЕ выключая программу поменял этот файл на свой старый, на удивление прога это съела и выдала мне нужный код. А дальше как по маслу, точнее по вашей подсказке. Кошель открылся (но транзакции были старые и пару битков я не видел), после этого запустил кошель с ключом рескан. И о чудо. Всё появилос. Зделал новый бекап и проверил его на другом компе. Всё пашет. Ещё раз спасибо за помощь.
  6. Krechet

    Кошелек Bitcoin (Bitcoin-QT, Bitcoin Core)

    @AlxSm, Я так понял нужно использовать консоль которая находится в бумажнике? Но я не могу войти в бумажник с моим валлет.дат. =( А подставка моего адреса в новый бумажник ничего не даёт. Правда мой бумажник был зашифрован.. может в этом дело...
  7. Krechet

    Кошелек Bitcoin (Bitcoin-QT, Bitcoin Core)

    @fsb4000,@AlxSm, Спасибо большое! Буду пробовать.
  8. Krechet

    Кошелек Bitcoin (Bitcoin-QT, Bitcoin Core)

    Добрый день. Я опять со своей проблемой. Вообщем бекап созданный последней версией кошелька оказался полностью битым ( будьте аккуратны). Нашёл более старый. Но радость была не долгой. При попытки пересобрать все блоки он крашится примерно за 5 недель до конца. При создании нового кошелька и попытки подсунуть ему валлет.дат, я получаю следущие: Если честно, я уже в панике.=(
  9. Krechet

    Кошелек Bitcoin (Bitcoin-QT, Bitcoin Core)

    @AlxSm, Пробовал, те же уши... Хотя пробовал 3 разных бекапа... Либо новый кошель сделал бракованный бекап, либо что-то ещё.
  10. Krechet

    Кошелек Bitcoin (Bitcoin-QT, Bitcoin Core)

    Уважаемые, подскажите. У меня маленькая паника. Кошелёк отказывается запускатся. Пишет постоянно "wallet.dat" повреждён, спасение данных не удалось. И всё. Ни снос кошелька и установка с бекапа не помогает, ни запуск с ключём рескан. Один чёрт при старте кошелька пишет, что валлет повреждён. (я сделал 3 бекапа и сохранил в разных местах). Где я нуп и опозорился, что делать?
  11. Krechet

    Подними себе настроение :)

    @NikasZervas, Ты про шоколадки? Так тебя просто специально тебя запутали=) 100 + 50 = 150 - долг 2х10 - шоколадки 30 - сдача 100 - потеря Итого 150 рублей. Отдал 30 рублей? долг - 70 + 50 = 120. и сравнивать его с шоколадками нельзя!!!! Они уже включены в 120 рублей!
  12. Krechet

    Инвестируй и получи процент.

    А самое смешное, что куча народу пошлёт ему битки=)
  13. Krechet

    Asic Little Single 30GHs. Проблема подключения.

    Те, что поставила сама винда когда обнаружило устройство. И с этими дровами БВГмайнер работает хорошо. А вот для СГмайнера нужны дрова от Zadig. Но у меня СГмайнер всё равно не видел устройство.
  14. Krechet

    Новая цена на ASICMiner Block Erupter -- 0.175 ВТС

    И отправить себе в 2010 год=)
  15. Krechet

    ASIC майнеры от Butterfly Labs

    Тут у меня маленькая эпопея была: https://forum.bits.media/index.php?/topic/2660-asic-little-single-30ghs-problema-podkliucheniia/ Вообщем снёс нафиг Изимайнер и майню теперь на БФГмайнере.
  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×