Плавное течение конкуренции и объединения атакующих и защищающих остановилось как только появился синтез средств массовой информации и компьютерных технологий. Атакующим более нет надобности в прямых взломах, как того требовалось ранее.
Децентрализованные сети *
Оверлейная компьютерная сеть
Новости
Как развернуть свою блокчейн-платформу на базе технологий Web3 Tech
В апреле этого года, после нескольких лет успешного развития платформы Waves Enterprise и ее использования в различных проектах мы решили выпустить её open-source версию, чтобы расширить охват потенциальных пользователей платформы. Мы сохранили в ней почти всю функциональность и классные фичи: это контейнеризированные смарт-контракты на любом языке, поддержка трех разных консенсусов, возможность обмена конфиденциальными данными и не только. Убрали только поддержку ГОСТ-криптографии, TLS и PKI.
В этом посте мы сравним наш блокчейн с известными аналогами, расскажем, как развернуть его самостоятельно и настроить мониторинг. В итоге вы получите готовую блокчейн-песочницу для экспериментов и разработки децентрализованных приложений на любом языке программирования.
Цифровой манифест
Целью цифрового манифеста является описание цифровых инструментов управления таким государством, в котором народ, являясь единственным источником власти, никогда не отделяет эту власть от себя, а лишь делегирует избранным представителям функции по управлению государством и лишь на то время, которое разрешают граждане. В режиме реального времени, используя системы связи, граждане выказывают свою поддержку или недоверие представителям власти, где недоверие влечет немедленное отстранение.
Это позволяет избежать узурпации власти небольшими группами людей и не дает совершать переходы от демократии к тоталитаризму и другим разрушительным формам управления.
Для достижения этой цели предлагается новая форма управления государством - цифровая демократия или цифровизм.
Блокчейн мало где применим
Любители криптовалют часто говорят, что «реальная инновация — это не биткойн, а блокчейн». Популярность блокчейнов постоянно растёт. В какой-то момент используемые блокчейны перестали называть просто «технологией блокчейна», они превратились в «web3». Подразумевается, что блокчейны имеют столь широкую сферу применений, что они заменят современный веб в том виде, в котором мы его знаем.
Однако блокчейны — это не технология общего назначения: они имеют очень ограниченные и специфические способы применения. И использование их в децентрализованных валютах не первый пример из множества, он вполне может оказаться и одним из немногих.
Coingecko & Agent Ftpupload создаем красивые адреса криптокошелька, но помним о сохранности приватного ключа
В криптосообществе за многие годы образовался целый культ по созданию красивых адресов для криптокошельков. Каждый желающий может сгенерировать для себя «красивый» адрес, который будет не только уникальным, но и будет иметь в себе определенное сочетание букв и цифр. Это очень увлекательный и интересный процесс, но нельзя полностью исключать риск, связанный с привлечением третьей стороны и перехватом приватного ключа к криптокошельку. Все мы когда-либо слышали о независимых агрегаторах CoinMarketCap
и CoinGecko
это самые популярные площадки для отслеживая цен на бирже, но в этой статье мы не будем рассматривать механизмы и функции этих площадок. Речь пойдет о скрытых кодах в vanitygen
+ oclvanitygen
и стремительное распространение их на популярных площадках.
Это исследовательский проект создан в целях информационной безопасности.
Многим пользователям не устраивают стандартные рандомные адреса криптокошелька и именно по этой причине они используют различные программы, утилиты и плагины для создание красивых криптовалютных адресов.
Согласно порталу TAdviser жертвами все чаще становятся из-за использование не проверенное программное обеспечение.
«Я заработал $3,8 млн. за ночь на арбитраже крипты, но у меня их хотят отобрать». История с Acala Network
Как вы думаете, можно ли законно заработать миллионы долларов на крипте всего лишь за ночь, сидя за компом и совершая не сложные действия? Да, но для этого должны сойтись сразу несколько обстоятельств. Кто-то все же в этот момент нарушает закон, ведь деньги не берутся из воздуха. Однако, можно косвенно поучаствовать в схеме, при этом заработав легально. Но не начнутся ли с этими деньгами проблемы просто потому, что это кому-то неудобно?
Сегодня мы подробно поговорим о ситуации связанной с aUSD и расскажем вам историю подписчика, который за одну ночь из ничего сделал 3,8 млн. долларов в aUSD и что с ним происходит сейчас. Поехали!
Криптостойкость Биткоина против квантового компьютера QIANSHI от китайского гиганта поисковой системы Baidu Inc
В погоне за кубитами Baidu Inc как лидер среди китайских поисковых систем не отстаёт от своего западного конкурента Alphabet Inc.
Все супермощные компьютеры используют квантовую физику для решения сложных задач, недоступных для традиционных устройств, с помощью кубитов - эволюции классического двоичного бита. Кубиты могут одновременно представлять значение 1 или 0, что обещает экспоненциальный рост вычислительной мощности.
Биткоин использует сразу несколько криптографических алгоритмов: алгоритм цифровой подписи на эллиптической кривой (ECDSA)
для подписи транзакций и две хэширующие функции — SHA-256
и RIPEMD160
.
Наиболее распространенный хэши функции используют вариант 128 ключей
который может быть взломан квантовыми компьютерами. В обозримом будущем RIPEMD160
может оказаться так же под угрозой.
Внедрение обновления шифрования для системы блокчейна кажется самой большой головной болью для криптографов, так как процесс обновления существующих приватных ключей может создать новые уязвимости.
Новые приватные ключи будут генерироваться системой после успешного внедрения постквантового шифрования. Чтобы активировать переход на новый приватный ключ, пользователи должны будут подписать для утверждения свой старый приватный ключ. Однако неактивные пользователи Биткоина могут никогда не обновить свой приватный ключ, что может вызвать серьезные проблемы, так как бездействующие Биткоин Кошельки, такие как те, которые содержат более 1 миллиона монет BTC, которые предположительно принадлежат Сатоши Накамото, вероятно, никогда не увидят улучшения шифрования.
Один из наиболее часто упоминаемых способов атаки на Биткойн который может быть применим квантовыми компьютерами это атака «дней рождения» (Birthday attack)
Этот метод основан на поиске коллизий хеш-функций на основе парадокса дней рождения.
Почему все говорят про ДАО. В чем суть, и как они делаются
Будем откровенны – про ДАО говорят далеко не все. К относительно широкой аудитории это слово только начало прокладывать путь. Американский Forbes выпустил колонку на тему «Что такое ДАО» в прошлом году, NY Times и The Economist написали свои объяснения уже в 2022-м. Издания подчеркивают, что ДАО – явление зарождающееся, и говорить о том, насколько оно успешно, рано. Однако осторожно называют его «захватывающим экспериментом, набирающим обороты» и «одним из наиболее быстрорастущих сегментов крипто экосистемы».
Энтузиасты, тем временем, прогнозируют, что уже через год-два будут ежедневно появляться тысячи новых ДАО. Люди будут использовать их не только для бизнеса, но и для решения благотворительных, социальных, коммуникационных задач.
В этой статье мы пытаемся ответить на самые распространенные вопросы, возникающие у людей, которые впервые слышат про ДАО. В дальнейших статьях мы будем углубляться в эту тему и рассматривать ее с разных сторон.
Авторы: Катерина Никитина, Дмитрий Илюшин, Артем Жиганов
Иллюстратор: Serafima Goldenberg
Нетривиальные способы применить блокчейн на практике
Введение
Блокчейн – это интегрированное решение сразу многих задач информатики, реализованное как единая общедоступная база данных, рассчитанная на постоянную дозапись, при этом прозрачная и поддающаяся криптографической проверке, работающая в распределенной и децентрализованной среде.
Мне много раз доводилось слышать, что технология блокчейна существует, а задачу, которая бы решалась с ее помощью – еще поискать. Я не согласен с такой оценкой, поскольку технологии и информатика, лежащие в основе блокчейна, приложимы на практике для решения повседневных инженерных задач. Один из вариантов использования блокчейна, сразу приходящий на ум – система верификации при управлении зависимостями.
Что, если бы мы хотели гарантировать следующее: всякий раз, когда мы вытягиваем код из VCS (системы контроля версий) этот код будет ровно одинаковым, независимо от того, когда мы его вытянем?
MrRobotQR сканируем QR-коды из поисковых систем в поисках приватных ключей Биткоин Кошельков
Всем нам известна фраза: "Все что попадает в интернет, остается в нем навсегда и становится общедоступным".
Вплоть до скрытого контента.
В 2021 году
пандемия вернула популярность QR-кодов
. Впервые QR-коды
были использованы на производстве в 1994 году
дочерняя компания Toyota
в Японии ввела их на заводе по сборке для контроля выпускаемых автомобилей и деталей к ним. В отличие от штрих-кода QR-ко
д содержит больше информации, что и подтолкнуло производителя к введению инновации. Технология начала распространяться в основном в азиатских странах, а в 2003 году
китайская компания Inspiry разработала специальный механизм считывания QR-кодов
, который позволил это делать быстро, что подогрело популярность. Однако широкое распространение пришлось уже на период массового использования планшетов и смартфонов, когда считывание стало доступно через камеру носимого устройства.
Устройства от китайской компании Inspiry
С одной стороны QR-коды предоставляют все удобства в платежах BTC
, так как можно не тратить по полчаса на оформление перевода. Достаточно навести смартфон на QR-код
и платежка со всеми заполненными полями сформируется сама, останется только нажать кнопку с подтверждением оплаты.
Переводы
, оплаты
, QR-коды
просто незаменимая вещь и самое важное в том что все это экономит наше время.
Нужно помнит ещё одну важную вещь:
Googlebot
, Bingbot
, Baidubot
работают 24/7
и в любой момент могут сохранить приватные данные в своих гигантских серверах.
На поиски скрытого контента из глубин поисковых систем подключаются совершено противоположенные поисковым ботам герои в черном худи из известного сериала Мистер Робот (Mr. Robot)
.
«MrRobotQR»
- это скрипт с открытым исходным кодом который автоматизирует процесс от ввода ключевого слова поиска до вывода приватного ключа Биткоин кошелька.
Eppie: чего не хватает новому интернету?
Привет, Хабр! Давайте знакомиться. Это Eppie — децентрализованный сервис обмена зашифрованными сообщениями. Проект еще в разработке, но представиться профессиональному сообществу уже пора.
Eppie будет работать в одноранговой p2p сети. Приложение шифрует сообщения по стандарту PGP, разбивает на фрагменты и рассылает их случайным нодам на хранение. В таком «перепутанном» виде данные остаются в сети. У Eppie нет почтовых серверов, все устройства участвуют в работе системы на равных. А в учетной записи пользователя нет ничего, кроме публичного ключа — он же адрес в сети. Приватный ключ дает доступ к содержанию переписки. Взломать такую систему практически невозможно. И поскольку никто не может прочитать чужие сообщения и метаданные, в Eppie невозможна цензура и использование персональных данных для рекламного таргетинга.
Это наша первая публикация, и в ней мы хотим рассказать, почему считаем, что интернету следующего поколения не обойтись без собственного почтового протокола.
Разбор теста от MixBytes
Не так давно компания MixBytes проводила конкурс, пройдя который можно было попасть на их курс аудитора смарт-контрактов.
Здесь публикую свой разбор этого теста.
Восстановление Биткоин Кошелька через короткие подписи ECDSA
Всем нам известно, что раскрываемость секретного ключа в подписи ECDSA может привести к полному восстановлению Биткоин Кошелька. В наших более ранних статьях мы рассматривали слабости и уязвимости в транзакциях блокчейна, но так же существуют короткие подписи ECDSA которые так же приводят к полному восстановлению Биткоин Кошелька.
Почему же эти подписи ECDSA называются короткими?
Ответ на этот вопрос вы можете получить из обсуждаемой темы: "Самая короткая подпись ECDSA" [The shortest ECDSA signature]
В прошлой нашей статье: "Уменьшение приватного ключа через скалярное умножение используем библиотеку ECPy + Google Colab" мы создали Python-скрипт: maxwell.py который сгенерировал для нас довольно интересный публичный ключ
(0x3b78ce563f89a0ed9414f5aa28ad0d96d6795f9c63 , 0xc0c686408d517dfd67c2367651380d00d126e4229631fd03f8ff35eef1a61e3c)
Как мы знаем значение сигнатуры "R"
это и есть публичный ключ от секретного ключа (Nonce)
Взгляните на Blockchain транзакцию: 11e6b169701a9047f3ddbb9bc4d4ab1a148c430ba4a5929764e97e76031f4ee3
RawTX:
0100000001afddd5c9f05bd937b24a761606581c0cddd6696e05a25871279f75b7f6cf891f250000005f3c303902153b78ce563f89a0ed9414f5aa28ad0d96d6795f9c6302200a963d693c008f0f8016cfc7861c7f5d8c4e11e11725f8be747bb77d8755f1b8012103151033d660dc0ef657f379065cab49932ce4fb626d92e50d4194e026328af853ffffffff010000000000000000016a00000000
Размер этой транзакции всего лишь: 156 байт
Как можно восстановить Биткоин Кошелек через короткие подписи ECDSA?
В криптоанализе блокчейна криптовалюты Bitcoin мы используем собственный Bash-скрипт: btcrecover.sh
Абстрактные анонимные сети
Среди анонимных сетей можно выявить класс систем максимально разграничивающих субъектов информации от их объектов, что приводит к возможности различных способов транспортирования информации. Из-за своей специфичной архитектуры передача информации может осуществляться в любой дуплексной среде, что полностью отрывает распространение объектов от своей сетевой архитектуры и переводит маршрутизацию в этап виртуального транслирования.
Любительская почта — чебурнет судного дня
Всем привет!
В данной статье описан мой опыт создания sneakernet-сети, мотивация, побудившая написать данное ПО, общее описание работы, бенчмарки, а также ссылки на сторонние ресурсы, где можно почитать документацию и скачать исходный код и готовую скомпилированную сборку.
CCIP — протокол кросс-чейн коммуникации экосистемы блокчейн
В этой статье хотим рассказать про протокол кроссчейн совместимости (CCIP) для децентрализованного обмена сообщениями/событиями и перемещения токенов между блокчейнами.
Рост многочисленных независимых блокчейн-экосистем с различной спецификой и географическими нишами привел к тому, что мир становится все более мультиблокчейновым. Возможность беспрепятственно использовать преимущества каждого из этих блокчейнов и их уникальные активы в рамках одного приложения вызвала бы мощную волну разработки новых кросс-чейн смарт-контрактов - не хуже, чем распространение DeFi, NFT и он-чейн игровых экономик, когда появились децентрализованные сервисы оракулов для получения реальных данных и безопасных вычислений вне блокчейна.
Однако создание кросс-чейн приложений, как известно, является сложной задачей, учитывая проблемы с существующей кросс-чейн инфраструктурой. Например, существует значительная фрагментация мостов для токенов и протоколов обмена сообщениями, большинство из которых являются специфическими сервисами для приложений между двумя различными блокчейнами. Кроме того, многие мосты достаточно централизованы, имеют слабые гарантии безопасности, не имеют прозрачных или надежных операторов узлов и увеличивают затраты и время обработки для конечных пользователей. Эти ограничения и уязвимости уже привели к хищениям на сумму в десятки миллионов долларов, что замедляет развитие кросс-чейн инноваций.
Чтобы удовлетворить растущий спрос экосистемы на кросс-чейн решения, проект Chainlink разрабатывает протокол Cross-Chain Interoperability Protocol (CCIP) - новый стандарт с открытым исходным кодом для кросс-чейн совместимости. Цель CCIP - установить универсальную связь между сотнями сетей блокчейн, как частных, так и публичных, разблокировать изолированные токены и расширить возможности кросс-чейн приложений для всех экосистем на блокчейне.
Уменьшение приватного ключа через скалярное умножение используем библиотеку ECPy + Google Colab
В этой статье мы постараемся показать как можно уменьшить приватный ключ зная только утечку из списка «BLOCKCHAIN FOLBIT LEAKS» и публичный ключ из «UTXO».
В экспериментальной части мы воспользуемся скриптами 08ReducePrivateKey и восстановим Биткоин Кошелек.
Скалярное умножение эллиптической кривой — это операция добавления точки P
на кривую k
раз.
Q=kP=P+P+P, k times
P
— точка на эллиптической кривой, а k
— большое натуральное число.
В любых примитивных реализациях ECC
скалярное умножение является основной вычислительной операцией. Ключевым фактором повышения эффективности ECC
является реализация быстрого скалярного умножения. Поэтому многие исследователи предлагали различные исследования ускоренного скалярного умножения.
Воспользуемся библиотекой ECPy
ECPy предоставляет:
подписи ECDSA
подписи Ed25519
подписи ECSchnorr
подписи Borromean
операции с точками
Во многих наших исследованиях мы используем библиотеку ECPy
и Google Colab
Откроем [TerminalGoogleColab]
Близится выпуск обновления Vasil для Cardano: чего ожидать
Обновление Vasil значительно улучшит производительность и возможности Cardano. За последние пару лет в сети наблюдались некоторые нововведения – запуск NFT, появление multi-asset и возможностей смарт-контрактов в 2021 году – но Vasil - это самое значительное обновление сети с момента запуска стейкинга в эре Shelley.
Pollard's Kangaroo находим решения дискретного логарифма secp256k1 PRIVATE KEY + NONCES в известном диапазоне
В этой статье мы рассмотрим самый быстрый алгоритм для ECDLP из области вычислительной теории чисел, кенгуру Полларда также называют алгоритм лямбды Полларда.
Метод кенгуру Полларда вычисляет дискретные логарифмы в произвольных циклических группах. Он применяется, если известно, что дискретный логарифм лежит в определенном диапазоне, скажем [ a , b ]
, а затем имеет ожидаемое время выполнения групповой операции.
Преимущество Pollard's Kangaroo:
• использует очень мало памяти
• можно распараллелить с линейным ускорением
• можно эффективно отслеживать требования к объему памяти
Все это делает метод кенгуру самым мощным методом решения задачи дискретного логарифмирования.
Один из способов сломать схемы подписи ECDSA — это решить проблему дискретного логарифмирования.
В настройках ECDSA
алгоритмы субэкспоненциального времени, такие как метод индексного исчисления, не применяются, а лучшим известным на сегодняшний день методом решения лежащем в их основе DLP
являются метод кенгуру Полларда. Мы постараемся не нагружать вас с различными теоретическими аспектами. Перейдем сразу к экспериментальной части.
Как мы знаем в блокчейне Биткоина отправитель монет BTC всегда раскрывает свой публичный ключ.
Для метода кенгуру Полларда достаточно знать публичный ключ или значение сигнатуры R
( значение R
- это тоже своего рода публичный ключ от Nonces
т.к. это точка координата x
на плоскости эллиптической кривой secp256k1
)
Остается только определить диапазон PRIVATE KEY
или диапазон NONCES
.
Случается такое что некоторые устройства которые создают подписиECDSA
в блокчейне Биткоина могут частично раскрывать байты информации о значение "K" (NONCES)
Мы считаем что это потенциальная угроза потери монет BTC и настоятельно рекомендуем всем всегда обновлять ПО и использовать только проверенные устройства.
В недалеком прошлом мы провели криптоанализ в блокчейне Биткоина и нашли несколько таких транзакции.
77+ примеров использования смарт-контрактов
77+ примеров использования смарт-контрактов
В своей основе, контракты определяют условия и обязанности при обмене чем-либо между двумя и более независимыми сторонами. Исторически так сложилось, что требовался централизованный арбитраж для подтверждения, что условия контракта соблюдаются. Благодаря появлению технологии блокчейн и смарт-контрактов, мы можем заменить централизованных арбитражеров на децентрализованную инфраструктуру, сокращая таким образом риски всех участников и повышая при этом эффективность исполнения.
Однако, из-за механизмов консенсуса в блокчейне, смарт-контракты не имеют встроенной функции или возможности связываться с внешними ресурсами, такими как поставщики данных или сервисы API, как средством верификации исхода реальных событий, происходящих за пределами блокчейна. Это создает так называемую проблему оракулов в блокчейне и является одним из самых серьезных препятствий для исполнения смарт-контрактов.
Чтобы преодолеть отсутствие такого связующего звена, гибридные смарт-контракты используют оракулы в качестве посредника для сбора информации из внешних источников данных, предоставления информации во внешние источники, и для вычислений off-chain. Оракулы обеспечивают не только двустороннюю связь между смарт-контрактами и внешним миром, но и безопасную среду, которая защищает от любого риска единой точки отказа (single point of failure), например, от манипуляции данных или системного сбоя.