Как создать обменник криптовалют

[Custom]

Добрый день!

прошу советов у знающих/опытных , какие ньюансы нужно учесть при создании обменника криптовалют с нуля?

что для этого необходимо?

что нужно для автоматического обменника? для "ручного"?

нужно ли юрлицо? в России/Украине?

не понятен момент: допустим обменник покупает на весь оборотный капитал БТЦ, каким образом слить большущие количество БТЦс по цене биржи (не БТЦ-Е)?

есть ли сложности (лимиты, налоги и т.п.) при выводе с этих бирж (POLONIEX, KRAKEN и т.п.)

 

 

[Klychkov]

Самое главное это максимальная защита от взлома. Потом уже всё остальное.

 

Для того кто не верит в то что максимальная защита наипервейшая задача.

https://forum.bits.media/index.php?/topic/17352-pokupaiu-kody-btc-e-premiia-8-10-ot-5tr-vyvod-na-kivi/page-56&do=findComment&comment=621219

Edited 26 Jan 2017, 18:34 by Klychkov

[Custom]

Самое главное это максимальная защита от взлома. Потом уже всё остальное.

о чем речь конкретно? большинство обменников работает просто по HTTPS.... что вы имели ввиду?

[Klychkov]

 

 

о чем речь конкретно?

Биржи насколько мне известно тоже работают по HTTPS, но вот битки с этих бирж благополучно исчезают после взлома.

 

 

что вы имели ввиду?

То что могут Ваши финансы вывести в неизвестном направлении.

[Custom]

Биржи насколько мне известно тоже работают по HTTPS, но вот битки с этих бирж благополучно исчезают после взлома.

 

 

То что могут Ваши финансы вывести в неизвестном направлении.

простите, но не понял конкретных действий, которые нужно совершить, кроме общих фраз.... чтобы не встрять по не знанию...

Edited 23 Jan 2017, 17:00 by Custom

[Klychkov]

 

 

простите, но не понял конкретных действий, которые нужно совершить, кроме общих фраз.... чтобы не встрять по не знанию...

Когда я выложил фотки подключенных асиков от общего шитка, на форуме у многих волосы зашевелились во всех местах. Когда я позвал электрика профессионала и он мне сделал всю разводку и подключение то после того как на фото это выложил все пришли в восторг.

 

Когда Вы пытаетесь сделать обменник и не знает как именно строить защиту своих финансов, то лучше в команду пригласить того кто этим профессионально занимается. В противном случае сделает хороший подарок кому нибудь.

[kursexpert]

 

 

что нужно для автоматического обменника? для "ручного"?

Для автоматического нужно апи у платежной системы и ваши или чужие руки из правильного места. Чтобы подключить апи у криптовалют верификация не нужна, в других платежных системах для доступа к апи нужна верификация. 

 

 

нужно ли юрлицо? в России/Украине?

Можно обойтись без юрлица, используя приват24, Сбербанк онлайн, Альфаклик... 

 

 

не понятен момент: допустим обменник покупает на весь оборотный капитал БТЦ, каким образом слить большущие количество БТЦс по цене биржи (не БТЦ-Е)?

Лучше всего продать эти же БТЦ :) А варианты слива нужно прорабатывать и искать. Теоретически можно и через btc-e.

 

 

есть ли сложности (лимиты, налоги и т.п.) при выводе с этих бирж (POLONIEX, KRAKEN и т.п.)

 

Бывают сложности с орграничениями, как правило, рашаемые. В разделе криптовалютных бирж есть примеры по ораничениям.

[Custom]

Когда я выложил фотки подключенных асиков от общего шитка, на форуме у многих волосы зашевелились во всех местах. Когда я позвал электрика профессионала и он мне сделал всю разводку и подключение то после того как на фото это выложил все пришли в восторг.

 

Когда Вы пытаетесь сделать обменник и не знает как именно строить защиту своих финансов, то лучше в команду пригласить того кто этим профессионально занимается. В противном случае сделает хороший подарок кому нибудь.

ситуация такова, что речь идет о создании сайта-обменника , не своими руками, руками профессионала, который просит предоставить ему техзадание, что бы вы конкретно посоветовали? каптча, смс-уведомление? но львиная доля обменников работает без всего этого... они все дарят подарки? если можно конкретные технические пожелания....

[kursexpert]

 

 

ситуация такова, что речь идет о создании сайта-обменника , не своими руками, руками профессионала, который просит предоставить ему техзадание, что бы вы конкретно посоветовали? каптча, смс-уведомление? но львиная доля обменников работает без всего этого... они все дарят подарки? если можно конкретные технические пожелания....

 

Этот профессионал просто программист или программист, который уже ранее разрабатывал обменники?

[Custom]

Этот профессионал просто программист или программист, который уже ранее разрабатывал обменники?

просто программист, который делал кучку разных сайтов, базы, доски , магазины и т.п. с обменником сталкивается впервые, поэтому и просьба просветить туманные моменты...

[kursexpert]

просто программист, который делал кучку разных сайтов, базы, доски , магазины и т.п. с обменником сталкивается впервые, поэтому и просьба просветить туманные моменты...

 

Понимаете, почти в каждом отдельном случае есть своя специфика, особенно в обменниках, тут даже на уровне платежных систем есть свои ньюансы. Чаще всего взломы возникают на уровне недоработки элементарной логики проверок. Например, нужно проверять какой тип валюты к вам зашел, есть умники, которые вместо usd шлют рубли и система может не увидеть разницы. Ip проверять платежной системы нужно. Eсли вручную работаете, то нужно проверять баланс не только отталкиваясь от смс, но и своими глазами смотреть на него в личном кабинете банкинга. Потом уже идут взломы на уровне движка. Какой каркас используется тоже имеет значение. Если планируете серьезно заниматься, то нужно заранее продумать защиту от ддос. Это что на вскидку пришло в голову. 

Edited 23 Jan 2017, 19:27 by kursexpert

[Custom]

Понимаете, почти в каждом отдельном случае есть своя специфика, особенно в обменниках, тут даже на уровне платежных систем есть свои ньюансы. Чаще всего взломы возникают на уровне недоработки элементарной логики проверок. Например, нужно проверять какой тип валюты к вам зашел, есть умники, которые вместо usd шлют рубли и система может не увидеть разницы, ip проверять платежной системы нужно, если вручную работаете, то нужно проверять баланс не только отталкиваясь от смс, но и своими глазами смотреть на него в личном кабинете банкинга. Потом уже идут взломы на уровне движка. Какой каркас используется тоже имеет значение. Если планируете серьезно заниматься, то нужно заранее продумать защиту от ддос. Это что на вскидку пришло в голову. 

благодарю за конкретику, освещу эти моменты, может еще что-подскажете ) (как прийдет, светлая мысль,буду признателен))

[kursexpert]

 

 

благодарю за конкретику, освещу эти моменты, может еще что-подскажете ) (как прийдет, светлая мысль,буду признателен))

Напишите какие валюты хотите использовать и какие банкинги, у меня не по всем есть опыт. 

[Custom]

 

Напишите какие валюты хотите использовать и какие банкинги, у меня не по всем есть опыт. 

в данный момент рассматриваются самые популярные :  BTC, LTC, Perfect money, Payeer, Сбербанк, Тинькофф, Альфа банк, Qiwi, Advancedcash, Приват 24.

возможно ответ лучше в личку?

[kursexpert]

 

 

в данный момент рассматриваются самые популярные :  BTC, LTC, Perfect money, Payeer, Сбербанк, Тинькофф, Альфа банк, Qiwi, Advancedcash, Приват 24. возможно ответ лучше в личку?

Ок, но уже навреное завтра. Пока могу написать, что киви очень проблематичная на вход валюта, часто грязь идет и платежная система все нафиг блокирует, но люди умудряются работать и неплохой процент по этим направлениям.

[mcduck_online]

в данный момент рассматриваются самые популярные :  BTC, LTC, Perfect money, Payeer, Сбербанк, Тинькофф, Альфа банк, Qiwi, Advancedcash, Приват 24.

возможно ответ лучше в личку?

Уважаемый Custom, в личику конечно хорошо, но коль вы на форуме и создали тему для публичного обсуждения то будьте добры не прячьте дельные советы от всех. Если сделаете выводы и обобщите - создайте обзор в вашем первом сообщении (все скажут спасибо за такую вырезку).

[Custom]

Уважаемый Custom, в личику конечно хорошо, но коль вы на форуме и создали тему для публичного обсуждения то будьте добры не прячьте дельные советы

пока обобщать нечего ) надо поднабраться инфо- достаточно объемная тема...

[kursexpert]

Попробую написать рекомендации:

• Нужно проверять ответы от платежных систем по ip. Обычно в документации ip указывают, если нет, то писать в поддержку и уточнять.
• Проверять тип валюты, которая к вам заходит. Например, у Perfect Money есть euro и usd. При оплате заявки, клиент может принудительно изменить в адресной строке параметры, при которых оплата уйдет не с евро счета, а с usd и естественно в этом случае вы будете в минусе. 
• Выставить настройки в апи, которые позволяют идентифицировать с 100% что это вы делаете обращение на перевод. 
• Безопасность хранения данных и финансов. Максимлаьно ограничит доступ к паролям и логинам платежных систем. Выставить масимальные настройки безопасности в самих платежных системах (двухфактораня авторизация, ограничение доступа по ip и пр.).
• Максиально ограничить доступ к административной панели обменника (ip, максимальная сложность пароля, нетривальный адрес входа в панель для админа, контрольные слова, контрольные пароли для создания перевода через админку).
• Антифрод. Необходимо обращать внимание на входящие платежи от клиентов, желательно хотя-бы частично на автоматическом уровне, потому что если вам заходят грязные деньги, особенно это касается qiwi, яндекс и банковских переводов, то вы рискуете быть заблокированными и потерять средства.
• Использовать несколько счетов. Рано или поздно вы столкнетесь с блокировой счета, поэтому конечно должна быть возможность быстро перейти на другой и выполнить обязателсва перед клиентами. Касается прежде всего qiwi, приват24.
• Важно иметь оперативную связь с платежными системами для решения проблем.
• Продумать ддос защиту. Примерно 90-95% ддос атак могут быть отбиты при помощи серивса cloudflaer.com на минимальном платном тарифе, для остальных 5-10 % нужно иметь всегда под рукой или гармотного админа или более серьезную защиту на уровне хостера. Вменямые решения на уровне хостера, как правило, очень дорогие, но могу помочь в этом плане (писать в ЛС). 
• Если вы планируете заниматься Webmoney, то это должен быть отделный сайт, с абсолютно другим доменным именем, дизайном и счетами, чем сайт на котором вы будете менять запрещенные к обмену с Webmoney валюты (список валют). Whois данные также нужно скрыть.
• Для успешной работы вам таке скорее всего прийдется в движке разрабатывать робота, который будет следить за курсами в автоматическом режиме. Лучше робота, который сможет следить за изменениями курсов конкурентов на мониторингах и устанавливать курс лучше.
• В поддержке должны работать проверенные и грамотные люди.

 

В ЛС чуть-чуть тоже добавлю. 

 

[Custom]

Попробую написать рекомендации:

• Нужно проверять ответы от платежных систем по ip. Обычно в документации ip указывают, если нет, то писать в поддержку и уточнять.
• Проверять тип валюты, которая к вам заходит. Например, у Perfect Money есть euro и usd. При оплате заявки, клиент может принудительно изменить в адресной строке параметры, при которых оплата уйдет не с евро счета, а с usd и естественно в этом случае вы будете в минусе. 
• Выставить настройки в апи, которые позволяют идентифицировать с 100% что это вы делаете обращение на перевод. 
• Безопасность хранения данных и финансов. Максимлаьно ограничит доступ к паролям и логинам платежных систем. Выставить масимальные настройки безопасности в самих платежных системах (двухфактораня авторизация, ограничение доступа по ip и пр.).
• Максиально ограничить доступ к административной панели обменника (ip, максимальная сложность пароля, нетривальный адрес входа в панель для админа, контрольные слова, контрольные пароли для создания перевода через админку).
• Антифрод. Необходимо обращать внимание на входящие платежи от клиентов, желательно хотя-бы частично на автоматическом уровне, потому что если вам заходят грязные деньги, особенно это касается qiwi, яндекс и банковских переводов, то вы рискуете быть заблокированными и потерять средства.
• Использовать несколько счетов. Рано или поздно вы столкнетесь с блокировой счета, поэтому конечно должна быть возможность быстро перейти на другой и выполнить обязателсва перед клиентами. Касается прежде всего qiwi, приват24.
• Важно иметь оперативную связь с платежными системами для решения проблем.
• Продумать ддос защиту. Примерно 90-95% ддос атак могут быть отбиты при помощи серивса cloudflaer.com на минимальном платном тарифе, для остальных 5-10 % нужно иметь всегда под рукой или гармотного админа или более серьезную защиту на уровне хостера. Вменямые решения на уровне хостера, как правило, очень дорогие, но могу помочь в этом плане (писать в ЛС). 
• Если вы планируете заниматься Webmoney, то это должен быть отделный сайт, с абсолютно другим доменным именем, дизайном и счетами, чем сайт на котором вы будете менять запрещенные к обмену с Webmoney валюты (список валют). Whois данные также нужно скрыть.
• Для успешной работы вам таке скорее всего прийдется в движке разрабатывать робота, который будет следить за курсами в автоматическом режиме. Лучше робота, который сможет следить за изменениями курсов конкурентов на мониторингах и устанавливать курс лучше.
• В поддержке должны работать проверенные и грамотные люди.

 

В ЛС чуть-чуть тоже добавлю. 

спасибо, за конкретную инфо! продолжаем собирать крупицы...

[Виноград]

Попробую написать рекомендации:

 

• Антифрод. Необходимо обращать внимание на входящие платежи от клиентов, желательно хотя-бы частично на автоматическом уровне, потому что если вам заходят грязные деньги, особенно это касается qiwi, яндекс и банковских переводов, то вы рискуете быть заблокированными и потерять средства.

Приветствую. А как мне "вычислить" грязные платежи? Не совсем понимаю. Деньги ведь уже пришли и нужно оплачивать клиенту, а служба безопасности, например, киви - начнет блокировку через час-два-сутки. Т.е. деньги ушли, а кошель заблочили позже...

 

У меня такая ситуация была с вебмани - через биржу получил платеж за битки - отправил битки, а на следующий день кошель заблочили - говорят нужно вернуть полученную сумму, т.к. она мошенническая, неделю с ними разбирался и скрины оплат с моей стороны отправлял и, чего только не отправлял - заблочили кошель и ничего не хотят решать...

[booz]

По поводу киви есть мысль оперативно пополнять кошелек исходящих платежей пластиком, с проверкой за блок.

Для принимающих номеров тоже нужна проверка блока, далее не знаю, или пластик или верифицированный кошель. Его тоже могут блокнуть, но этот блок снимается, хоть пишут, что и муторно.

Может, напишут хозяева действующих обменов, как они это решают.

Ну, и следуя логике выше, нужно разносить морду и АПИ модуль на разные машины, обмен между ними как-то делать. Притом так, что если морду сломали, АПИ работать не должно.

Edited 25 Jan 2017, 05:43 by booz

[kursexpert]

 

 

Приветствую. А как мне "вычислить" грязные платежи? Не совсем понимаю. Деньги ведь уже пришли и нужно оплачивать клиенту, а служба безопасности, например, киви - начнет блокировку через час-два-сутки. Т.е. деньги ушли, а кошель заблочили позже...

Прежде всего отталкиваться от предыдущей истории переводов с клиентом. Если клиент новый, то проверять на "странность" ip, e-mail, обращать внимание на сколько корректную он указал информацию о себе. Заявки с большими суммами можно придержать и выяснить у самой платежной системы происхождение средств (не знаю на сколько оперативно это может быть в случае киви).

 

 

У меня такая ситуация была с вебмани - через биржу получил платеж за битки - отправил битки, а на следующий день кошель заблочили - говорят нужно вернуть полученную сумму, т.к. она мошенническая, неделю с ними разбирался и скрины оплат с моей стороны отправлял и, чего только не отправлял - заблочили кошель и ничего не хотят решать...

Иногда такие ситуацию будут и ничего сделать не получится, нужно просто учитывать, что какой-то процент потерь просто будет.

[kursexpert]

 

 

Ну, и следуя логике выше, нужно разносить морду и АПИ модуль на разные машины, обмен между ними как-то делать. Притом так, что если морду сломали, АПИ работать не должно.

Ну не совсем так. Главное, чтобы бекэнд напрямую не зависел от фронтэнда, а вход в админпанель сайта был отдельным и масимально ограниченным. Это можно реализовать, например, при помощи react js.  

[Euro Bitcoins]

 

Прежде всего отталкиваться от предыдущей истории переводов с клиентом. Если клиент новый, то проверять на "странность" ip, e-mail, обращать внимание на сколько корректную он указал информацию о себе. Заявки с большими суммами можно придержать и выяснить у самой платежной системы происхождение средств (не знаю на сколько оперативно это может быть в случае киви).

 

 

 

 

Вы когда-нибудь общались с тех. поддержкой киви? ) Уж поверьте, вряд ли вам там смогут помочь даже в ближайшие сутки, там работают очень не компетентные, сонные мухи )  А в свете того, сколько сейчас грязи льётся по киви, то я вообще склоняюсь к варианту либо же исключить работу с данной платёжной системой (хотя по рейтингу направлений обмена, киви сейчас на первом месте), либо же принимать риски и быть  готовым, что тебя заблочат в любую секунду. Это очень печально ((( сами ищем возможность работать по киви с меньшими рисками. 

[kursexpert]

@Euro Bitcoins, вы через мерчант работаете? Года три назад пытался подключить. Переписывались с месяц и так ничего не получилось.