Pull to refresh

Comments 13

Интересно, почему такой низкий уровень безопасности именно на Bitcoin-биржах. Ведь регулярно угоняют аккаунты, регулярно биржи «падают». Про классические банки такого не слышно.
Я не до конца понял из статьи только одно. В реальности эта биржа существует, и полученные наработки могли бы быть применены к настоящим проектам? Или это «open-source» проект для забавы, который в реальности не применяется?
Биткоин такая уникальная штука. Раньше взломал ты банк, потом тебе надо дропов искать, как то сделать незаметный перевод, и вообще все легко отслеживается, контролируется и даже ревертится. Ломать онлайн банки тупо невыгодно и муторно.
А вот посмотрите на битштамп. У них украли 5 миллионов баксов недавно. Все, больше их никогда не вернут, и вора никогда не вычислят (если он не полный идиот, конечно). Что делает все связанное с биткоинами очень привлекательной добычей.

Опенсорсная биржа поддерживается реальной китайской биржей yunbi.com (их код улучшенная приватная версия пеатио). Насколько я знаю пеатио используют 5-10 уже работающих обменок в разных странах.
Все же я не понимаю: цепочка по которой передаются биткоины у всех на виду. Можно на каждую из них отослать по 1 центу с указанием в названии платежа а-ля «Это полиция/ФБР/и тд, мы расследуем кражу, просьба с нами связаться» — ведь по-любому таким образом можно выйти на обменник, а там уже проще или я недопонимаю многого?
В биткойн-протоколе нет названия платежа. То, что вы видите на blockchain.info — самодеятельность этого сервиса.

Отправить по одному центу можно, но что заставит «честного» получателя связываться с властью? Если вы в своем кошельке вдруг увидите купюру с штампиком «Эта купюра была украдена, явитесь в банк по адресу Урюпинск, ул. Ленина, 18, спросить Павла Петровича» — ваши действия? Поедете в Урюпинск или попытаетесь сплавить купюру дальше?

Ну и наконец — в биткойне нет законов и наказаний. Есть лишь математика.
Если у тебя есть приватный ключ — ты можешь делать что хочешь. В этой связке само понятие «кражи» попросту неопределено. Если нет закона — то никто тебя и судить по нему не может. И наказать тоже.
Все, больше их никогда не вернут, и вора никогда не вычислят (если он не полный идиот, конечно).
Если все так анонимано, то как злоумышленник может «спалиться»?
Перевести деньги прямо в обменку без миксера например, выдать свой реальный айпи нодам и тд. Способов натупить много, но если человек знает что делает то его не отследить.
> Интересно, почему такой низкий уровень безопасности именно на Bitcoin-биржах.
> Ведь регулярно угоняют аккаунты, регулярно биржи «падают». Про классические банки такого не слышно.

Потому что «классические» банки делают не второкурсники на каникулах.
Классические банки берут существенный процент за операции, позволяющий им нанимать профессионалов.
Классический банк имеет меньше рисков, ведь безналичный перевод можно откатить, а клиенты идентифицированы по паспорту. Если банк видит в логах, что Вася Пупкин нарисовал себе миллион на счете, а потом перевел часть в другой банк, а часть снял в банкомате — то перевод возвращается, а домой к Васе приходят дяденьки, проводят обыск и изымают у Васи незаконно нажитые средства.
>Потому что «классические» банки делают не второкурсники на каникулах.
Да, делают дипломированные специалисты, которых больше никуда не взяли.

>Классические банки берут существенный процент за операции, позволяющий им нанимать профессионалов.
Позволяющий, но они все равно их не нанимают. Зарепортить XSS или что посерьезней обычно целый квест. Вон был пост про liqpay API у приватбанка. Да надо быть полным дебилом чтобы такую кривую архитектуру сделать. Даже второкурсник это понимает. Про профессионализм банков вообще не в кассу. У связаного банка например был CSRF на обновление пароля (да и вообще везде), у тинькоф XSS, и даже не нашел способа зарепортить.

>Классический банк имеет меньше рисков, ведь безналичный перевод можно откатить, а клиенты идентифицированы по паспорту. Если банк видит в логах, что Вася Пупкин нарисовал себе миллион на счете, а потом перевел часть в другой банк, а часть снял в банкомате — то перевод возвращается, а домой к Васе приходят дяденьки, проводят обыск и изымают у Васи незаконно нажитые средства.
Вот в этом и дело. Чтобы получить чистый миллион надо сначала существенный процент на отмыв через дропов (я в этом не силен но на вскидку так же как и с украденными кредитками процентов 50+). Плюс у банков ДОФИГА антифродовых датчиков и 5 миллионов как у битштампа куда попало не переведутся.
> Плюс у банков ДОФИГА антифродовых датчиков и 5 миллионов как у битштампа куда попало не переведутся.

А, совсем забыл. Банковский сервер можно «остановить в случае обнаружения нештатной ситуации», а с биткойнами «датчики» не задействуешь.
Если стали известны приватные ключи (или алгоритмы их генерации) — то можно сервер биржи хоть из розетки выключить, хоть от интернета оторвать, хоть вообще в расплавленный свинец бросить. Это не спасет от того, что биткойны со счета спишутся и уйдут куда-то. А узнать о том, что приватный ключ скомпроментирован как правило нельзя пока с этого счета не спишутся средства куда не планировали.
Я толком не знаю как происходит банковский перевод но думаю что у каждого банка есть API keys к какой то общей системе, типа SWIFT, а значит если украсть эти credentials то можно со счета банка переводить деньги. Но это все не имеет смысла тк легко вернуть назад.

Биткоин сайт обезопасить тоже не сложно, правильная система с cold storage просто обязательна. Но и она не серебренная пуля. Можно нарисовав деньги на счете планомерно и хладнокровно выводить деньги частями. Я думаю взломы в будущем так и будут работать. Компрометация в январе, узнают о взломе в июне например.
Так много подходящих ошибок, что невольно возникает мысль, а не заложил ли их разработчик.
Я бы сказал слишком банальных ошибок.
Гарантирую что нет. Во первых баги были в сторонних джемах, во вторых им нет никакого интереса на данном этапе компрометировать свою же систему. Да и украсть так можно часть а не все, чтобы украсть все надо более хитрый бэкдор оставлять.
Sign up to leave a comment.

Articles