Search the Community

На примере последних кейсов разбираемся с атаками внутри децентрализованных проектов. Буквально на днях закончилось дело CFTC vs Ooki, хотя на самом деле речь идет про продолжение борьбы Комиссии с bZx. На этой волне напишется еще множество FUD-публикаций, но очевидно, что атака на криптоиндустрию - хорошо спланирована и напоминает во многом атаки 2014 и 2018 годов: в 2014-ом центробанки разных стран выпустили по миру предупреждения о так называемой опасности криптовалют, а в 2018-ом начался пик крестового похода против ICO. Отличие нынешнего периода состоит в том, что векторов стало куда больше: тут и DeFi, и DAO, и NFT. Но за внешними угрозами многие перестали замечать внутренние, и это привело многих к краху и тотальным ошибкам. Каким именно? Об этом и поговорим сегодня. Наверняка помните, что в прошлом году Андрей Перцев, один из основателей Tornado, попал под пристальный взгляд западных СМИ, так как оказался под арестом из-за якобы нелегальной деятельности, а фактически из-за разработки opensource-сервиса, который прекрасно работает без своего создателя (объяснение здесь). Но это было как раз внешнее нападение: куда интересней рассмотреть то, что произошло недавно и стало нападением внутри самого ДАО. Подробнее: https://bits.media/dao-vs-dao-borba-snaryada-i-broni/

Специалисты по кибербезопасности команды 0d сообщили, что в системе мультиподписей сети Tron была обнаружена критическая уязвимость. Под угрозой оказались активы на полмиллиарда долларов, но уязвимость оперативно закрыли. Команда 0d работает в составе компании dWallet Labs. Специалисты 0d утверждают, что уязвимость в Tron позволяла владельцу части подписи получить неограниченный доступ к защищенному мультиподписью кошельку и всем хранящимся там активам. Команда 0d еще в феврале сообщила об уязвимости разработчикам Tron через проект HackerOne, и проблема была исправлена через несколько дней. Представитель Tron подтвердил, что разработчики получили отчет проекта HackerOne и «максимально быстро исправили проблему, применив необходимые патчи, так что уязвимость не могла и не может быть использована». Сумма вознаграждения, выплаченная специалистам по кибербезопасности, не сообщается. Подробнее: https://bits.media/razrabotchiki-tron-ispravili-uyazvimost-dostupa-k-aktivam-na-500-mln/

Сооснователь Эфириума Виталик Бутерин опубликовал пост, в котором разобрал вопрос выбора хранителей ключей в кошельках с мультиподписью транзакций и для кошельков с возможностью восстановления ключа. Кошелек с мультиподписью ― это кошелек, при отправке транзакции с которого ее должны одобрить несколько других участников. Они хранят части ключа для подписи транзакций. Готовятся и кошельки с возможностью «социального восстановления ключа» ― в этом случае владелец кошелька сам хранит ключ, но в случае его утери ключ можно восстановить с помощью нескольких хранителей. По сути, хранители ― это несколько других кошельков или адресов, которые контролируют другие люди и организации. Бутерин подчеркнул, что набор хранителей должен быть децентрализован. То есть, не имеет особого смысла делать несколько кошельков на собственных компьютерах ― один вполне допустим, но не более. «Одним из важнейших правил для меня является существование достаточного количества хранителей частей моего ключа, чтобы если я пропаду, то они могли восстановить доступ к моим средствам», ― написал Виталик Бутерин. Подробнее: https://bits.media/vitalik-buterin-prizval-tshchatelno-vybirat-khraniteley-dlya-koshelka-s-multipodpisyami/

Ошибка может привести к сбоям маршрутизации платежей без указания причины возникновения. В отличие от сети блокчейна Биткоина базового уровня, где тысячи операторов узлов проверяют транзакции, в платежах Lightning Network могут участвовать всего два человека. Пользователи сети целенаправленно жертвуют частью безопасности в обмен на более высокую скорость и более низкую комиссию. Платежи в Lightning Network могут завершиться неудачно, если что-то пойдет не так на любом этапе процессов с участием нескольких подписей. К примеру, конечный получатель может отказаться выпускать прообраз, подтверждающий получение платежа, либо узел Lightning Network может отключиться. Разработчики сети выяснили: сбой маршрутизации платежа проходит без атрибуции, а это означает, что плательщики не получают информации о произошедшем. Либо сообщение об ошибке было повреждено на обратном пути к отправителю, либо так и не было получено. Участники транзакции могут продолжать попытки использовать неисправный узел, даже не подозревая о наличии проблемы. Подробнее: https://bits.media/razrabotchiki-vyyavili-novuyu-oshibku-seti-lightning-network/

Разработчик криптокошелька MetaMask планирует развивать своей проект, направленный на поддержку Web-разработчиков. Блокчейн-компания ConsenSys объявила, что планирует каждый год выделять по $2.5 млн на финансирование своей недавно запущенной программы MetaMask Grants DAO, предназначенной для поддержки и развития Web3. Фондом будут управлять сотрудники MetaMask, а DAO будет отвечать за выдачу грантов разработчикам, не связанным с ConsenSys, создающим продукты и услуги в рамках экосистемы MetaMask и других проектов в Web3. Сперва проект запустят на 12 месяцев, чтобы оценить жизнеспособность. DAO будет публично обрабатывать голоса и предложения через SnapShot на платформе Codefi Activate. ConsenSys будет выделять $600 000 в квартал, чтобы стимулировать децентрализацию, а также внедрение механизмов и бизнес-моделей Web3. По словам руководителя глобального продукта MetaMask Тейлора Монахана (Taylor Monahan), упор на децентрализацию в проекте не только ускорит принятие среди подкованных в криптовалютах людей, но и среди тех, кто присматривается к новой отрасли. Подробнее: https://bits.media/consensys-planiruet-ezhegodno-tratit-po-2-5-mln-na-finansirovanie-svoego-novogo-fonda/

Инициация крупной биткоин-транзакции ненадолго рассинхронизировала работу узлов большей части Lightning Network. Основатель турецкой блокчейн компании Bitmatrix Бурак Качели (Burak Keceli) решил проверить границы возможного для сети Lightning Network. Разработчик создал и выполнил сложную транзакцию в блокчейне Биткоина, которая вывела из строя большую часть узлов сети Lightning. Транзакция представляла собой платеж с мультиподписью, при котором для подтверждения одной транзакции использовалось несколько криптографических ключей. Обычно в таких сделках участвуют несколько человек. Бурак Качели создал мультиподпись 998 из 999, где для подписи транзакции нужно было использовать 998 ключей из 999 возможных. В результате технический эксперимент обвалил большую часть Lightning Network, а многие пользователи стали жаловаться, что не могут синхронизироваться с сетью, что она стала недоступной через их собственные узлы. Подробнее: https://bits.media/tekhnicheskiy-eksperiment-v-seti-bitkoina-vremenno-obvalil-lightning-network/

Создатели блокчейн-платформы Polkadot намерены продвигать мультичейн-экосистему с помощью нового протокола межсетевой связи. Polkadot сообщила о запуске XCM – протокола, который, как уверяют разработчики, должен устранить неудобные нынешние механизмы, подвергавшиеся кибератакам. Система сыграет ключевую роль в продвижении мультичейн-экосистемы Polkadot, которая должна будет обеспечить блокчейну полную совместимость. В компании заявляют, что уровень защиты XCM тот же, что и центральная цепочка Polkadot Relay Chain. Кроме того, система сможет обеспечить связь между парачейнами и смарт-контрактами. Разработчики Polkadot объявили об успешном запуске парачейнов еще в декабре прошлого года. Сеть разделили на пять параллельных цепочки – Moonbeam, Acala, Clover, Astar и Parallel Finance. Цепочки могут взаимодействовать друг с другом и с внешними сетями. У каждой цепочки своя собственная задача. Глава отдела по связям с общественностью Parity Technologies, компании-разработчика Polkadot, Питер Морик (Peter Mauric) заявил, что большинство мостов сегодня чрезмерно зависят от централизованных схем мультиподписи, что делает пользователей уязвимыми для кибератак. Связь между парачейнами на Polkadot, уверяет Морик, позволит этого избежать. Подробнее: https://bits.media/razrabotchiki-polkadot-zapustili-protokol-mezhsetevoy-svyazi-xcm/

Скандально известный разоблачениями правительственных заговоров Эдвард Сноуден рассказал, что входил в команду людей, запустивших блокчейн конфиденциальной криптовалюты Zcash. Бывший сотрудник Агентства национальной безопасности (АНБ) США Эдвард Сноуден (Edward Snowden) рассказал о своем участии в запуске анонимной криптовалюты Zcash (ZEC), который состоялся в 2016 году. Сноуден уточнил, что он был одним из шести человек, владеющих частью закрытого ключа для проведения нулевой транзакции с мультиподписью. Он участвовал в церемонии запуска Zcash под псевдонимом Джон Доббертин. На церемонии запуска блокчейна Сноуден и еще пять человек объединили свои части закрытого ключа Zcash. Никто из участников не знал, кем были другие члены команды и какую часть ключа они держат. Это один из ключевых принципов проекта анонимной криптовалюты, которая поддерживает блокчейн, использующий доказательства с нулевым разглашением. Команда проекта утверждает, что транзакции ZEC не могут быть отслежены, а переданные суммы не могут быть определены, в отличие от относительно прозрачного блокчейна Биткоина. После успешного запуска Zcash каждый держатель части закрытого ключа должен был уничтожить свой элемент мультиподписи, чтобы предупредить подделку криптовалюты или транзакций в будущем. В ходе интервью Zcash Media Сноуден поделился своим энтузиазмом по поводу проекта и стремлением к конфиденциальности: Подробнее: https://bits.media/edvard-snouden-ya-stoyal-u-istokov-zapuska-anonimnoy-kriptovalyuty-zcash/

Глава криптовалютной компании Unchained Capital Джо Келли сообщил, что их партнер по почтовому маркетингу ActiveCampaign обнаружил взлом и утечку данных о пользователях. Генеральный директор компании Unchained Capital, специализирующейся на поставке финансовых услуг для владельцев биткоинов, Джо Келли (Joe Kelly) сообщил, что сторонний провайдер почтового маркетинга ActiveCampaign (AC), использовавшийся Unchained до 2022 года, на прошлой неделе подвергся кибератаке с применением социальной инженерии. Келли в блоге компании и письмах клиентам уточнил, что атака произошла только на платформу AC. Поэтому хакеры получили в свое распоряжение только информацию, которую Unchained ранее предоставила AC. Он объяснил, что к преступникам могли попасть адреса электронной почты клиентов, имена пользователей, статус учетной записи, наличие у клиента мультиподписного хранилища или кредита в Unchained Capital и, возможно, IP-адреса. Келли утверждает, что ни одна из систем Unchained не была скомпрометирована, а это означает, что информация о профилях клиентов, которая никогда не передавалась AC, не была похищена. По его словам, в безопасности находятся следующие данные: физические адреса, номера социального страхования, даты рождения, идентификаторы, номера телефонов, номера банковских счетов, пароли, адреса и балансы кошельков биткоинов, кредитные остатки, данные о торговой деятельности, выписки из кошелька и кредитные выписки. Подробнее: https://bits.media/unchained-capital-predupredila-klientov-o-potentsialnykh-fishingovykh-atakakh/

Анонимный лидер популярной децентрализованной биржи SushiSwap отказался от управления протоколом. Причины такого решения и дальнейшие планы разработчика под псевдонимом Maki неизвестны. Как сообщил источник, знакомый с ситуацией, адрес кошелька Эфириума Maki был удален из множественной подписи протокола для подтверждения операций. При этом он остался в мультиподписи для доступа к хранилищу SushiSwap. Напомним, что децентрализованная биржа SushiSwap была запущена летом прошлого года как форк протокола Uniswap. Площадка быстро стала популярной и сейчас занимает одну из лидирующих позиций в данной сфере. Объем торгов на бирже SushiSwap в августе составил $10.2 млрд. На текущий момент стоимость токена SUSHI составляет $12.99 – за последние сутки курс снизился на 7.5%. Год назад основатель площадки под псевдонимом Chef Nomi обменял SUSHI на ETH и вывел их на собственный кошелек. Это вызвало бурное негодование криптовалютного сообщества, и на Chef Nomi посыпались обвинения в мошенничестве. После этого он вернул $14 млн в ETH и передал администраторские ключи от платформы генеральному директору FTX Сэму Бэнкману-Фриду (Sam Bankman-Fried). Подробнее: https://bits.media/osnovatel-sushiswap-ukhodit-s-posta-rukovoditelya-proekta/

Принадлежащая основателю социальной сети Twitter Джеку Дорси (Jack Dorsey) платежная компания Square начала формировать команду разработчиков для создания аппаратного кошелька для биткоина. Согласно записи в Twitter ведущего специалиста по аппаратному обеспечению Square Джесса Дорогускера (Jesse Dorogusker), «компания начала собирать команду для реализации проекта». Он написал: «Мы решили создать аппаратный кошелек и сервис, чтобы сделать хранение BTC более доступным. Мы продолжим вести диалог с сообществом. Реакция сообщества на наш проект был потрясающей – обнадеживающей и вдохновляющей». Генеральный директор Square Джек Дорси подтвердил это заявление комментарием в Twitter: «Мы делаем это». Дорогускер отметил, что продукт находится на ранней стадии разработки. Он добавил, что Square хочет предоставить поддержку мобильных сервисов для глобальной аудитории. Подробнее: https://bits.media/square-nachinaet-razrabotku-apparatnogo-koshelka-dlya-bitkoina/

Фонд по правам человека (HRF) выдаст четыре гранта разработчикам Биткоина. Между разработчиками будет распределено $70 000. Джесси Познер (Jesse Posner), разрабатывающий мультиподписи и дискретные контракты логирования, получит $25 000. Столько же получит команда разработчиков, создающая кошелек Munn Wallet. По $10 000 будет выдано пользователю под псевдонимом Janine, которая создает новостной бюллетень по безопасности Биткоина, и организации Blockchain Commons. «Эта серия грантов поможет разработке Биткоина, кошелька с открытым исходным кодом, новостного бюллетеня и созданию программы стажировки для студентов, которые работают над программным обеспечением Биткоина», — отмечается в заявлении HRF. Познер ранее работал над решением по управлению ключами в криптовалютной компании Coinbase, а затем переключился на разработки с открытым исходным кодом. Фонд по правам человека надеется, что грант поможет ему внедрить подобное решение в Биткоин, после активации обновления Taproot, которое добавит поддержку подписей Шнорра. Подробнее: https://bits.media/fond-po-pravam-cheloveka-vydast-razrabotchikam-bitkoina-granty-na-70-000/

Всем привет. Недавно мне понадобился мультисиг кошелек для ЕТН, и я пошел гуглить… Первое на что наткнулся, статья «Эволюция кошельков Эфириума», самих обзоров кошельков там нет, но чуть теории никому не помешает, рекомендую ознакомиться. Потом нашел статью «Краткий обзор multisig кошельков для Ethereum», заинтересовал кошелек Gnosis – возможность держать «лёгкий» кошелек, норм UI-йка и пока что без сюрпризов в стиле Parity (if you know what I mean? ?). Есть два варианта использования Gnosis кошелька: - онлайн (в паре с Metamask, Mist или Parity): https://wallet.gnosis.pm/#/wallets - локально: https://github.com/gnosis/MultiSigWallet/releases Я не пользуюсь онлайн кошельками и кошельками-расширениями для браузера. Параноик, зато у меня никогда не пропало ни цента. В данном мануале рассмотрим локальное использование кошелька Gnosis, и принцип работы мультиподписи. Процесс установки не буду скринить и описывать. Все просто, заходите сюда: https://github.com/gnosis/MultiSigWallet/releases и качаете кошелек под свою систему. У меня Debian-based дистрибутив, поэтому я скачал deb-пакет. Установка прошла гладко и без сюрпризов. Запускаем кошелек, видим главное окно, ставим галочки и нажимаем Continue: В следующем окне я выбрал Light Wallet (если у вас есть Ledger или вы хотите подключится к конкретной ноде, тогда выберите соответствующие варианты): Чтобы не играться с настоящими деньгами, можно выбрать тестовую сеть, что я и сделал. Тестовые ЕТН взял отсюда. Зашел в Settings и сменил в Ethereum Node на Remote Rinkeby и нажал Update Settings, после чего перезапустил кошелек: ***Примечание. Wallet factory contract --> Automatic После перезапуска кошелька, идем в Accounts и создаем или импортируем аккаунт. У меня уже есть тестовые аккаунты, поэтому нажимаю на Import, выбираю keystore file и указываю его пароль: Так как все кошельки установлены на одном компе, повторяю все эти шаги для каждого кошелька. В итоге, три кошелька – Покупателя (Buyer_wallet), Гаранта (Escrow_wallet) и Продавца (Seller_wallet? Создание мультисиг-кошелька Давайте представим самую простую ситуацию – ЕТН выступит в качестве платежного средства, Покупатель хочет купить товар у Продавца через Гаранта, используя мультисиг-кошелек. Чтобы создать новый кошелек (не путать с Accounts), идем в Wallets и добавляем новый кошелек: Выбираем Create new wallet: * Name – имя кошелька (все стороны сделки могут назвать по своему); * Required confirmations – сколько нужно подтверждений (подписей) чтобы произвести операцию с данным кошельком; * Daily limit (ETH) – дневной лимит вывода ЕТН с данного кошелька; * Owners – владельцы кошелька (общее количество владельцев); Ок, с этим разобрались. На следующем скрине вы увидите мои параметры создания мультисиг-кошелька: Количество подписей как видите 2, а общее количество подписантов – 3: My account (Гарант), Buyer_wallet (Покупатель), Seller_wallet (продавец). Значит, имеем схему 2-из-3. Нажимаем Deploy и потом Send transaction: ***Примечание. В аккаунте создающего мультисиг-кошелек должно быть немного ЕТН для оплаты газа. Заходим в Wallets и видим наш Multisig_wallet: Чтобы увидеть подробную информацию по кошельку, нажмите по его названию: Кошелек пока что пустой (0.00 ЕТН). В Owners мы видим всех кто управляет данным кошельком. В Tokens можно добавлять токены. ***Важное примечание. В данном случае мультисиг кошелек создавал Гарант (Escrow). Теперь он (Гарант) должен «раздать» мультисиг-кошелек двум другим подписантам (владельцам) – Покупателю и Продавцу. Не имеет значения кто создаст мультисиг-кошелек, главное: правильно указать адреса владельцев (другие владельцы должны внимательно проверить свои адреса, которые указал человек создающий мультсиг-кошелек); для создания/подписи нужно иметь ЕТН на балансе чтобы оплатить стоимость газа (мониторить можно здесь); после создания самого мультисиг кошелька, создающий обязательно должен поделиться им с другими владельцами, которым НЕ нужно по новой создавать мультисиг-кошелек, а всего лишь импортировать уже созданный Делиться мультисиг-кошельком очень просто. Тот кто его создал должен зайти в Settings и выбрать Export Wallets. Код который увидите НЕ содержит приватных данных, и им можно открыто делиться с другими подписантами, которые соответственно должны зайти в Settings, выбрать Import Wallets, вставить полученный код от создателя мультисиг-кошелька и нажать Save. Сложно? Вряд ли. ? Вот содержимое данного кошелька, которым Гарант делится с другими двумя сторонами сделки: {"wallets":{"0x7D179E7d4793210bd9a3CA1CfbF916Fd4f1A763E":{"name":"Multisig_wallet","owners":{"0x3f14bea302d3fc4cb678bf42781b666418023cf6":"My account","0xd33b1c69810a9223ad8aa6a2ab76b841d9392083":"Buyer_wallet","0x437b8dfc954e96bc1518febfff08c371c487096b":"Seller_wallet"},"tokens":{}}}} Продолжим… Покупатель пополняет мультисиг-кошелек на 2 ЕТН: Припустим что после пополнения мультисиг-кошелька Покупателем, Продавец исчез и не выходит на связь. Покупатель хочет вернуть ЕТН на свой личный адрес кошелька. Так как в данном случае схема 2-из-3, значит, кто то должен создать транзакцию, а кто то просто её подписать. Не имеет значения кто будет создавать, а кто подписывать. Но логичнее будет, если Покупатель будет создавать транзакцию, так как ему нужно указать свой личный адрес кошелька. Покупатель идет в Wallets, открывает подробную информацию о мутисиг-кошельке и нажимает на Send a multisig transaction now: После чего указывает личный адрес кошелька, количество ЕТН и комментарий (опционально): Все тот же покупатель открывает подробную информацию о мультисиг-кошельке и видит: - Destination – на какой адрес уйдут ЕТН (при наведении мышкой вы увидите адрес кошелька ЕТН); - Value – количество отправляемых ЕТН; - Confirmations – кто на данный момент подписал транзакцию (в данном примере видно что Покупатель уже подписал транзакцию) а также кнопку Revoke confirmation для отмены подписи; - Executed – была ли транзакция отправлена в сеть; Ну что ж, Покупатель создал мультисиг-транзакцию, указал личный адрес кошелька, Гаранту осталось только подписать. Гарант открывает свой кошелек, идет в Wallets, открывает мультисиг-кошелек, смотрит подробности и видит почти тоже самое, что и Покупатель (куда и сколько будет отправлено ЕТН). В Confirmations он видит что транзакция уже подписана Покупателем, а также видит кнопку Confirm, для подписания транзакции со своей стороны: Вот как теперь выглядит мультисиг-кошелек со стороны Покупателя, Гаранта и Продавца: Покупатель не получил товар/услугу со стороны продавца и вернул свои ЕТН. Продавец получил негативный отзыв. Пользуйтесь мультиподписью, и берегите свои ЕТН. Неплохой видео-мануал на английском. Спасибо за внимание. Если эта статья была вам полезна, поддержите написание следующей. 48asCffTPEMeqbxAf2XkP16qeuRTh7vxkQDhfXfbG5LgJ8YJeJEaUsrQ86dKyuyot2KfthhPuzFFRRq L7cFi2TCV1gBSLiF 1MRDrYQfE6Vy1rqrWL6aN3iVCKofvvNA3w https://tippin.me/@thefuzzstone gVtQVSN8EzaTBboDFRgGMRZrbDDRpGu4wnFdjGVgzmfVbnVKRMn3 0x0c30f1De9B30C9872d920200BB03aA3b67b7E300 Ldt5cQLtaZid6oiwjM7rT6Ne2X5LjKyjpr 0xbD55b072728865d37851bEfFD200EC3B5BBE91A7

Если вы знакомы с кошельком Electrum, тогда знаете, что он использует мнемоническую фразу (seed), обычно из 12-ти английских слов, для генерации master private key (xprv), который используется для генерации бесконечной последовательности приватных ключей (private key) и, следовательно, открытых ключей (public key) и адресов (address). Обычно, когда люди говорят “публичный адрес”, они думают что адрес кошелька и публичный ключ одно и тоже. Это не так. Адрес кошелька (address) — — это хэш публичного ключа (public key), и им можно делиться с другими, он не содержит в себе приватной информации. Некоторые иерархически детерминированные кошельки (HD-кошельки), для повышения безопасности, позволяют разделять создание master private key (xprv) и публичного ключей. При такой схеме, кошелек может быть настроен зная только master public key (xpub). Плюсы такого подхода: кошелек может создавать столько адресов (address), сколько это необходимо; если master public key (xpub) будет скомпрометирован, это не позволит злоумышленнику потратить BTC из кошелька; Также, держа по отдельности master public key (xpub) и master private key (xprv) их можно использовать в кошельках Electrum или Armory, для полностью автономного хранилища, в котором один компьютер (в автономном режиме) знает приватный ключ (xprv), а второй (подсоединен к интернету) знает только публичный ключ (xpub). Master public key (xpub) может генерировать одну и ту же последовательность адресов (address) независимо от мнемонической фразы (seed). Таким образом, вы можете ввести master public key (xpub) в кошелек, и получить безопасный вариант только для приема средств (watch-only wallet). Вы сможете видеть баланс кошелька, генерировать новые адреса, но не сможете отправить с него средства. BTC отправленные на сгенерированные адреса, автоматически будут отображаться в вашем кошельке. Пару слов о мультиподписи Мультиподпись (транзакция с несколькими подписями — — multi-signature transaction) впервые появилась в кошельке BitGo в 2013 году. В 2015-ом году кошелек Electrum обновился до версии 2.0, где была добавлена возможность создавать адреса с мультиподписью по схеме “2-из-3” (наиболее распространенный вариант). В последней версии возможны разные вариации вплоть до “15-из-15”. На момент написания этого поста, последний релиз кошелька Electrum-3.1.2 Актуальную версию Electrum кошелька смотрите только на официальном сайте кошелька: https://electrum.org/#download Никогда не качайте кошельки с непроверенных источников! Мультиподпись позволяет: Отправлять BTC только с одновременного согласия нескольких сторон сделки / владельцев ключей (xpub), каждый из которых должен подписать транзакцию своим ключом; Значительно повысить безопасность личного кошелька; Создание мультисиг кошелька Electrum со стороны покупателя (2-из-3) Скачайте последную версию Electrum: https://www.electrum.org/#download и запустите кошелек: Задайте имя файлу кошелька (я задал buyer_wallet), или оставьте default_wallet и нажмите “Дальше”. В следующем окне, вы должны выбрать какой тип кошелька хотите создать. Выберите Multi-signature wallet и нажмите “Дальше”: Далее нужно выбрать количество подписей, необходимых для отправки с этого кошелька. В нашем случае выбираем “2-из-3” и нажимаем “Дальше”: В следующем окне выбираем Create a new seed (Создать новую мнемоническую фразу): Далее выбираем какой тип адресов будет поддерживать наш кошелек (я выбрал Standart), но вы можете договорится между собой о создании Segwit-кошелька. *Примечание. Все стороны сделки обязательно должны выбрать одинаковый тип кошелька, будь то Standart или Segwit. Далее кошелек выдаст вам сгенерированную мнемоническую фразу (seed) – фраза из 13 произвольных слов, необходимая для восстановления кошелька. Скопируйте ее и сохраните в безопасном месте. Google/Яндекс диски, DropBox, iCloud, черновики в электронной почте -- не являются безопасными местами. Если эта фраза попадет в чужие руки -- ваши ВТС украдут. Если вы её потеряете -- потеряете ВТС навсегда. Хороший вариант, зашифровать мнемоническую фразу с помощью PGP. Вторую копию -- хранить на обыкновенной бумаге, третью -- поместить в зашифрованный контейнер, четвертую -- спрятать на “видном месте”, пятую -- можно даже здесь, все равно это будет лучшим вариантом чем облачные хранилища. Можно комбинировать все перечисленные варианты выше + добавить свои. Помните, что безопасность ваших ВТС зависит только от вас. Далее кошелек попросит ввести мнемоническую фразу, чтобы убедиться что вы сохранили её. Введите свою мнемоническую фразу и нажмите “Дальше”. Следующее что вы должны увидеть, это ваш master public key (xpub), которым нужно поделиться с гарантом сделки и продавцом. Все стороны сделки должны обменяться своими master public key (xpub) между собой. Сохраните свой master public key (xpub) в текстовом редакторе и нажмите “Дальше”: И последнее окно, где вам нужно выбрать способ добавления других подписантов (гаранта и продавца). В данном мануале я выберу Enter cosigner key (ввести ключ подписанта), то есть master public key (xpub? Чтобы добавить подписанта №2 и №3, мне нужны их master publickey (xpub), поэтому гарант и продавец должны сделать все тоже самое, что написано выше, то есть, создать мультисиг кошелек “2-из-3” и отправить мне свои master publickey (xpub), последовательность добавления подписантов не имеет значения. Вставляем в кошелек полученный master publickey (xpub) от гаранта: Следующий шаг, master publickey (xpub) полученный от продавца: После того как вы введете ключи подписантов master public key (xpub), кошелек попросит придумать пароль. Не пропускайте этот шаг, надежный пароль нужен, чтобы хранить средства в безопасности и осуществлять переводы. “Зашифрованный файл кошелька” --- если вы забудете пароль от кошелька, то сможете восстановить кошелек по мнемонической фразе. Но если ваш компьютер (или файл кошелька wallet.dat) попадет в руки злоумышленника, без вашего пароля он не может украсть ваши ВТС: Чтобы не забывать пароли, пользуйтесь KeePassX. В данном мануале все кошельки создавались на одном компьютере, так что вот названия кошельков, их seed-ы и master public key (xpub), можете потренироваться и восстановить их у себя: Название кошелька: buyer_wallet seed: faculty rail juice copper size camp unusual speed danger mass crystal high xpub: xpub661MyMwAqRbcGj32Tppb7WXTo27f4ZUbD6Mo8xkkaWcKEmTjmXCN2YhYBd6Yc6RmT4GTypSC3UWWa7BhjygPED5UuHDiHBU37QFcmHSZNLd Название кошелька: escrow_wallet seed: minor regular avoid auto aisle window vintage intact deal stem coyote innocent xpub: xpub661MyMwAqRbcGENw1uYVR8DNiZkvU3KJJVm8zuf7CXpCWBpMfHRGjJbneKTXwvsE3Gr6L6WW87fFWsPeQFqqGQpbZ43z9n6oPnUWWPAny6h Название кошелька: seller_wallet seed: goat diesel screen cluster doctor winter slush silly run diary express number xpub: xpub661MyMwAqRbcFw6zcN2BNgpQn3hWb6oTBqeWQU7S9MTX7iNPHe95oKYxhBRtWoV94YfJrcjWRQHdgC777rr5TakKmdCJoVrHyzX3mWruRmm Скрин созданных кошельков: Индикатор в правом нижнем углу должен загореться зеленым. Это значит, что кошелек работает исправно и готов к работе. Обратите внимание, адрес для получения средств начинается с тройки, а не с единицы, это подтверждает что используется мультиподпись. Также надеюсь что вы заметили заметили, что у всех сторон сделки один и тот же адрес, значит мультисиг кошелек был создан правильно. Теперь покупателю нужно перевести необходимое количество ВТС на мультисиг адрес, в данном случае используем адрес: 38BU9oXBXgmjmAu8pWSyehxbYkW22BDqtF Помните, в данном мультисиг кошельке отправленные средства не могут быть возвращены без минимум двух подписей, из трех (“2-из-3”). Покупатель отправляет ВТС на мульсиг кошелек: Когда продавец видит, что покупатель отправил ВТС на мультисиг кошелек (желательно дождаться трех подтверждений в сети), тогда он должен исполнить свою часть сделки --- отправить покупателю товар/предоставить услугу. Когда сделка между покупателем и продавцом проходит успешно, гарант может вообще не участвовать в отправки ВТС на личный адрес продавца. Продавец может создать транзакцию (где указывает свой личный кошелек, куда должны быть отправлены ВТС за предоставленный товар/услугу), подписывает транзакцию своим ключом и передает её покупателю, чтобы тот подписал своим ключом и транслировал в сеть. Давайте рассмотрим ситуацию, когда после отправки ВТС со стороны покупателя, продавец исчезает, и не выходит на связь. Так как все стороны сделки (покупатель, гарант и продавец) создали “один кошелек на троих”, но, чтобы потратить средства, нужно согласие большинства (в данном случае необходимо две подписи из трёх). В таком случае, покупатель пишет гаранту сделки о проблеме (продавец не выходит на связь на протяжении нескольких дней), гарант пробует связаться с продавцом по указанным контактам, но ответа нет. Тогда покупатель создает транзакцию, в которой указывает свой личный адрес кошелька (куда должны вернуться ВТС), подписывает транзакцию своим ключом, после чего передает подписанную транзакцию гаранту сделки в виде файла, QR-кода, текста или с помощью TXID. При получении подписанной транзакции со стороны покупателя, гарант перепроверяет адрес, куда будут отправлены ВТС, если покупатель подтверждает адрес для возврата средств, тогда гарант подписывает транзакцию своим ключом (получается “2-из-3”) и транслирует её в сеть. Таким образом ВТС вернулись на личный кошелек покупателя. Давайте посмотрим пару скринов, где покупатель хочет вернуть ВТС (так как товар/услугу от продавца он не получил) на адрес, с которого они пришли. Покупатель создает транзакцию, где указывает свой личный кошелек и подписывает своим ключом: Покупатель видит что успешно подписал транзакцию: Теперь транзакцию нужно передать гаранту, чтобы и он её подписал, и транслировал в сеть. 1. Статус подписи; 2. “Копировать” -- копирует скрипт, который можно передать гаранту любым удобным способом. Проверить скрипт можно на сайте https://coinb.in, вкладка Verify: Вот скрипт, кому интересно самому проверить: 010000000137f1921d1909ea4b60d473e5becde7c8c8014a52b4423a2dfec69b6424e7976d00000000fd52010001ff47304402207ee1ebb0069bd21080b67a1422a1dd854fc3feff204121dbdc94bd97186bfcbf02207744d6d166aaaa3827af9134fadf619ca8fbd802f324161dba3cc7a653d2bda10101ff4d0201524c53ff0488b21e000000000000000000a99db2f694f2786327827290aebe8165bb89c6e374f69757f86f1d388dfa743602d181eea96c9a70bbca7d05e592b85511491abeaaface65d2d46a1fb8f4b79aa7000000004c53ff0488b21e000000000000000000db3e12dbc85740d9bb9046858cb73be9557adcbda6e8f0a74d474f6eb93630e9020821d6550d44d5bf01ea3c3efff302f209f734c57fdc35ccc5dc1d86a9d8f87f000000004c53ff0488b21e0000000000000000008bb34a163ee3fbf426111eb26d21e57ae0b98f0a95907fcb9afd51d88b3e90340313964abd62c145ad99e1c2c83fb1edf70e696b032f699bce913aa52fce70ad000000000053aefdffffff011f8b0600000000001976a9145a2bb3c2dd6eb177bdec8f55cca26e286285ce7f88accde60700 3. Значок QR-кода -- передать транзакцию с помощью QR-кода. 4. “Экспортировать” --- вы можете экспортировать этот же скрипт, который вы видели выше, только сразу в текстовый файл, который готов для импортирования в кошелек Electrum и последующей подписи. Припустим покупатель решил передать транзакцию с помощью текста. Смотрим скрины со стороны кошелька гаранта: Инструменты → Загрузить транзакцию → Из текста: В появившееся окно гарант вставляет полученный скрипт от покупателя, и нажимает на кнопку “Загрузить транзакцию”: После чего видит такое же окно транзакции как и покупатель. Гарант сверяет адрес возврата, с адресом откуда изначально пришли ВТС на мультисиг адрес, если все в порядке, подписывает транзакцию своим ключом и транслирует в сеть: Финальный скрин мультивалютного кошелька со стороны покупателя, гаранта и продавца: ВТС были отправлены/возвращены на адрес с которого они пришли. Покупатель не получил товар/услугу со стороны продавца и вернул свои ВТС. Продавец получил негативный отзыв. Пользуйтесь мультиподписью, и берегите свои ВТС. Спасибо за внимание. Если эта статья была вам полезна, поддержите написание следующей. 48asCffTPEMeqbxAf2XkP16qeuRTh7vxkQDhfXfbG5LgJ8YJeJEaUsrQ86dKyuyot2KfthhPuzFFRRq L7cFi2TCV1gBSLiF 1MRDrYQfE6Vy1rqrWL6aN3iVCKofvvNA3w https://tippin.me/@thefuzzstone gVtQVSN8EzaTBboDFRgGMRZrbDDRpGu4wnFdjGVgzmfVbnVKRMn3 0x0c30f1De9B30C9872d920200BB03aA3b67b7E300 Ldt5cQLtaZid6oiwjM7rT6Ne2X5LjKyjpr 0xbD55b072728865d37851bEfFD200EC3B5BBE91A7