Forwarded from 21 идея
В нашей сегодняшней беседе о приватности предлагаем обсудить варианты интерпретации биткоин-транзакции:
Многочисленные интерпретации блокчейн-транзакции
Биткоин-транзакции состоят из входных и выходных данных. На каждую транзакцию может приходится как по одному из подобных входов и выходов, так и по несколько. Ранее созданные выходы могут быть использованы в качестве входных данных для последующих операций. Такие выходы уничтожаются в момент расходования, и, как правило, им на замену создаются новые неизрасходованные выходы.
Рассмотрим следующий пример транзакции:
1 btc ----> 1 btc
3 btc ----> 3 btc
Эта операция имеет два входа, стоимостью в 1 btc и 3 btc, и создает два выхода также стоимостью в 1 btc и 3 btc.
Если бы вы наблюдали за этим на блокчейне, какое предположение вы бы могли выдвинуть на основе этой транзакции? (Например, мы обычно предполагаем, что биткоин-транзакция является платежом, но это не всегда так).
Существует, по крайней мере, девять возможных интерпретаций:
Разных вариантов интерпретации такой простой транзакции, как видите, много. Поэтому некорректно утверждать, что операции с биткоином всегда с легкостью прослеживаются, реальность намного сложнее.
Сервисы и организации, анализирующие блокчейн, обычно полагаются на эвристику (или идиомы использования), где имеют место определенные предположения о правдоподобности того или иного сценария. Затем аналитик игнорирует или исключает некоторые из этих возможностей. Не стоит забывать, что это лишь предположения; они могут быть ошибочными. Тот, кто стремится к приватности, может намеренно поступить необычным образом, вводя аналитиков в заблуждение.
Биткоины не имеют ни водяных знаков, ни серийных номеров. Например, ввод 1 btc в определенной транзакции может оказаться выводом в виде 1 btc или в части вывода 3 btc, а также стать частью обоих выводов. Транзакции представляют собой огромное количество входных и выходных данных, поэтому важно отметить, что невозможно с уверенностью определить где оказался тот самый 1 btc. Такая взаимозаменяемость биткоинов в рамках одной сделки является важной причиной различных возможных интерпретаций вышеуказанной транзакции.
Постепенно растущий материал можно найти по этой ссылке, а оригинал — здесь.
Перевод подготовлен ₿-T.ru
#длякаждого
#приватность
Многочисленные интерпретации блокчейн-транзакции
Биткоин-транзакции состоят из входных и выходных данных. На каждую транзакцию может приходится как по одному из подобных входов и выходов, так и по несколько. Ранее созданные выходы могут быть использованы в качестве входных данных для последующих операций. Такие выходы уничтожаются в момент расходования, и, как правило, им на замену создаются новые неизрасходованные выходы.
Рассмотрим следующий пример транзакции:
1 btc ----> 1 btc
3 btc ----> 3 btc
Эта операция имеет два входа, стоимостью в 1 btc и 3 btc, и создает два выхода также стоимостью в 1 btc и 3 btc.
Если бы вы наблюдали за этим на блокчейне, какое предположение вы бы могли выдвинуть на основе этой транзакции? (Например, мы обычно предполагаем, что биткоин-транзакция является платежом, но это не всегда так).
Существует, по крайней мере, девять возможных интерпретаций:
1. Элис предоставляет оба входа и платит Бобу 3 btc. Элис принадлежит вывод 1 btc (т.е. это вывод со сдачей).
2. Элис предоставляет оба входа и платит Бобу 1 btc, при этом 3 btc возвращаются Элис в качестве сдачи.
3. Элис предоставляет вход, равный 1 btc, а Боб — 3 btc, Элис получает выход в 1 btc и Боб получает 3 btc. Это своего рода операция CoinJoin.
4. Элис платит Бобу 2 btc. Элис вводит 3 btc, получает 1 btc в качестве сдачи, Боб вводит 1 btc и получает 3 btc. Это разновидность транзакции PayJoin.
5. Элис платит Бобу 4 btc (но по какой-то причине использует два выхода).
6. Фальшивая сделка - Элис владеет всеми входами и выходами и просто перемещает монеты между своими адресами.
7. Элис платит Бобу 3 btc и Кэрол 1 btc. Это сгруппированная транзакция, избегающая сдачу (остаток).
8. Элис платит 3 btc, Боб платит 1 btc; Кэрол получает 3 btc и Дэвид получает 1 btc. Это разновидность транзакции, комбинирующая процесс CoinJoin со сгруппированной транзакцией, избегающей сдачу (остаток).
9. Элис и Боб платят Кэрол 4 btc (но с помощью двух выходов).
Разных вариантов интерпретации такой простой транзакции, как видите, много. Поэтому некорректно утверждать, что операции с биткоином всегда с легкостью прослеживаются, реальность намного сложнее.
Сервисы и организации, анализирующие блокчейн, обычно полагаются на эвристику (или идиомы использования), где имеют место определенные предположения о правдоподобности того или иного сценария. Затем аналитик игнорирует или исключает некоторые из этих возможностей. Не стоит забывать, что это лишь предположения; они могут быть ошибочными. Тот, кто стремится к приватности, может намеренно поступить необычным образом, вводя аналитиков в заблуждение.
Биткоины не имеют ни водяных знаков, ни серийных номеров. Например, ввод 1 btc в определенной транзакции может оказаться выводом в виде 1 btc или в части вывода 3 btc, а также стать частью обоих выводов. Транзакции представляют собой огромное количество входных и выходных данных, поэтому важно отметить, что невозможно с уверенностью определить где оказался тот самый 1 btc. Такая взаимозаменяемость биткоинов в рамках одной сделки является важной причиной различных возможных интерпретаций вышеуказанной транзакции.
Постепенно растущий материал можно найти по этой ссылке, а оригинал — здесь.
Перевод подготовлен ₿-T.ru
#длякаждого
#приватность
Forwarded from 21 идея
Повторное использование адреса
Если адрес выходных данных был использован повторно, это, скорее всего, платежный выход, а не выход сдачи. Это связано с тем, что адреса сдачи создаются автоматически с помощью программного обеспечения кошелька, а платежные адреса передаются людьми вручную. Повторное использование адреса возможно в силу незнания или из-за безразличия. Данная эвристика, вероятно, является наиболее точной, поскольку в данном случае сложно представить сценарий, приводящий к ложно-позитивным результатам (кроме как преднамеренное решение дизайна кошелька). Эту эвристику также называют теневой.
Первые версии ПО (2010-2011 гг., в которых не было детерминированных кошельков) не генерировали новые адреса сдачи, а отправляли сдачу обратно на адрес входа. Это позволяло с точностью идентифицировать адрес, получающий сдачу.
Предотвращение повторного использования адреса — весомый инструмент для поддержания приватности. Данные кошельки также могут автоматически определять, использовался ли определенный адрес для получения платежа ранее (возможно, путем запроса пользователя), а затем использовать уже использованный адрес в качестве адреса сдачи; таким образом оба выхода будут использованы повторно.
Кроме того, большинство повторно используемых адресов выложены на форумах, в социальных сетях, таких как Facebook, Reddit, Stackoverflow ... и т. д. Данные адреса вы можете найти на сайте https://checkbitcoinaddress.com/. Это чем-то похоже на деанонимизацию псевдонимного блокчейна.
Постепенно растущий материал можно найти по этой ссылке, а оригинал — здесь.
Перевод подготовлен ₿-T.ru
#приватность
#длякаждого
Если адрес выходных данных был использован повторно, это, скорее всего, платежный выход, а не выход сдачи. Это связано с тем, что адреса сдачи создаются автоматически с помощью программного обеспечения кошелька, а платежные адреса передаются людьми вручную. Повторное использование адреса возможно в силу незнания или из-за безразличия. Данная эвристика, вероятно, является наиболее точной, поскольку в данном случае сложно представить сценарий, приводящий к ложно-позитивным результатам (кроме как преднамеренное решение дизайна кошелька). Эту эвристику также называют теневой.
Первые версии ПО (2010-2011 гг., в которых не было детерминированных кошельков) не генерировали новые адреса сдачи, а отправляли сдачу обратно на адрес входа. Это позволяло с точностью идентифицировать адрес, получающий сдачу.
Предотвращение повторного использования адреса — весомый инструмент для поддержания приватности. Данные кошельки также могут автоматически определять, использовался ли определенный адрес для получения платежа ранее (возможно, путем запроса пользователя), а затем использовать уже использованный адрес в качестве адреса сдачи; таким образом оба выхода будут использованы повторно.
Кроме того, большинство повторно используемых адресов выложены на форумах, в социальных сетях, таких как Facebook, Reddit, Stackoverflow ... и т. д. Данные адреса вы можете найти на сайте https://checkbitcoinaddress.com/. Это чем-то похоже на деанонимизацию псевдонимного блокчейна.
Постепенно растущий материал можно найти по этой ссылке, а оригинал — здесь.
Перевод подготовлен ₿-T.ru
#приватность
#длякаждого
Forwarded from 21 идея
Анализ отпечатков кошелька (часть 2)
- Low-R signatures (подписи с низким значением R). Формат DER, используемый для кодирования Биткоин-подписей, требует добавления дополнительного байта к подписи, чтобы указать, когда R значение подписи находится в верхней половине эллиптической кривой, используемой для Биткоина. Значение R определяется случайным образом, поэтому половина всех подписей имеет этот дополнительный байт. По состоянию на июль 2018 года Bitcoin Core генерирует только подписи с низким значением R, которые не требуют этого дополнительного байта. Таким образом, транзакции Bitcoin Core экономят (в среднем) один байт на каждые две подписи. По состоянию на 2019 год ни один другой кошелек не делает этого, поэтому подпись с высоким значением R является свидетельством того, что Bitcoin Core не используется.
- Несжатые и сжатые публичные ключи. ПО ранних кошельков использует несжатые приватные ключи. Смесь сжатых и несжатых ключей может быть использована для снятия отпечатков кошелька.
- Комиссия майнеров. ПО различных кошельков может по-разному реагировать на нехватку пространства в блоке, что может привести к разнице в выплатах комиссии майнерам. Это также может использоваться для снятия отпечатков кошелька.
- Выбор монет. Некоторые ПО кошельков при помощи различных алгоритмов могут выбирать, какие UTXO тратить, это также может быть использовано для снятия отпечатков кошелька.
Если несколько пользователей используют одно и то же ПО кошелька, то при снятии отпечатков невозможно определить адрес сдачи. Также возможно, что одному пользователю принадлежат два разных кошелька, которые используют разное программное обеспечение (например, горячий и холодный кошелек), и тогда транзакции между различными версиями ПО не будут ложно указывать на смену владельца. Отпечатки кошельков сами по себе никогда не являются окончательным доказательством, но, как и при всех других утечках приватности, они лучше всего работают в совокупности с другими данными, при объединении многочисленных утечек.
Постепенно растущий материал можно найти по этой ссылке, а оригинал — здесь.
Перевод подготовлен ₿-T.ru
#приватность
#длякаждого
- Low-R signatures (подписи с низким значением R). Формат DER, используемый для кодирования Биткоин-подписей, требует добавления дополнительного байта к подписи, чтобы указать, когда R значение подписи находится в верхней половине эллиптической кривой, используемой для Биткоина. Значение R определяется случайным образом, поэтому половина всех подписей имеет этот дополнительный байт. По состоянию на июль 2018 года Bitcoin Core генерирует только подписи с низким значением R, которые не требуют этого дополнительного байта. Таким образом, транзакции Bitcoin Core экономят (в среднем) один байт на каждые две подписи. По состоянию на 2019 год ни один другой кошелек не делает этого, поэтому подпись с высоким значением R является свидетельством того, что Bitcoin Core не используется.
- Несжатые и сжатые публичные ключи. ПО ранних кошельков использует несжатые приватные ключи. Смесь сжатых и несжатых ключей может быть использована для снятия отпечатков кошелька.
- Комиссия майнеров. ПО различных кошельков может по-разному реагировать на нехватку пространства в блоке, что может привести к разнице в выплатах комиссии майнерам. Это также может использоваться для снятия отпечатков кошелька.
- Выбор монет. Некоторые ПО кошельков при помощи различных алгоритмов могут выбирать, какие UTXO тратить, это также может быть использовано для снятия отпечатков кошелька.
Если несколько пользователей используют одно и то же ПО кошелька, то при снятии отпечатков невозможно определить адрес сдачи. Также возможно, что одному пользователю принадлежат два разных кошелька, которые используют разное программное обеспечение (например, горячий и холодный кошелек), и тогда транзакции между различными версиями ПО не будут ложно указывать на смену владельца. Отпечатки кошельков сами по себе никогда не являются окончательным доказательством, но, как и при всех других утечках приватности, они лучше всего работают в совокупности с другими данными, при объединении многочисленных утечек.
Постепенно растущий материал можно найти по этой ссылке, а оригинал — здесь.
Перевод подготовлен ₿-T.ru
#приватность
#длякаждого
Forwarded from 21 идея
Сегодня предлагаю поговорить об изменении комиссии (fee bumping), оплачиваемой майнерам, и как этот процесс может повлиять на приватность в сети Биткоин:
Изменение комиссии
BIP 0125 определяет механизм замены неподтвержденной транзакции новой транзакцией, которая платит более высокую комиссию. Время от времени пользователь может обнаружить, что его транзакция не подтверждается достаточно быстро; в подобной ситуации есть возможность повысить комиссию, то есть заплатить более высокую плату майнеру. Однако, как правило, новая более высокая плата майнеру будет происходить за счет уменьшения суммы сдачи. Таким образом, если злоумышленник наблюдает за всеми неподтвержденными транзакциями, он может увидеть как более раннюю транзакцию с низкой комиссией, так и более позднюю транзакцию с высокой комиссией. Будет логично предположить, что выход, чья сумма уменьшилась, является выходом сдачи.
Иногда это можно завуалироать за счет сокращения обоих выходных данных или уменьшения суммы платежа вместо сдачи, при использовании модели “отправитель платит за комиссию” (sender-pays-for-fee).
Постепенно растущую статью "Приватность в сети Биткоин” можно найти по этой ссылке, а оригинал — здесь.
Перевод подготовлен ₿-T.ru
#приватность
#длякаждого
Изменение комиссии
BIP 0125 определяет механизм замены неподтвержденной транзакции новой транзакцией, которая платит более высокую комиссию. Время от времени пользователь может обнаружить, что его транзакция не подтверждается достаточно быстро; в подобной ситуации есть возможность повысить комиссию, то есть заплатить более высокую плату майнеру. Однако, как правило, новая более высокая плата майнеру будет происходить за счет уменьшения суммы сдачи. Таким образом, если злоумышленник наблюдает за всеми неподтвержденными транзакциями, он может увидеть как более раннюю транзакцию с низкой комиссией, так и более позднюю транзакцию с высокой комиссией. Будет логично предположить, что выход, чья сумма уменьшилась, является выходом сдачи.
Иногда это можно завуалироать за счет сокращения обоих выходных данных или уменьшения суммы платежа вместо сдачи, при использовании модели “отправитель платит за комиссию” (sender-pays-for-fee).
Постепенно растущую статью "Приватность в сети Биткоин” можно найти по этой ссылке, а оригинал — здесь.
Перевод подготовлен ₿-T.ru
#приватность
#длякаждого
Forwarded from 21 идея
Пакетирование
Пакетирование платежей — это метод, позволяющий уменьшить комиссию за майнинг. Он работает путем объединения нескольких платежей в одну блокчейн транзакцию. Обычно он используется биржами, казино и другими крупногабаритными клиентами.
Компромиссом в данной ситуации является то, что получатели могут видеть сумму и адрес друг друга.
Получив вывод средств с биржи Кракен, например, вы можете просмотреть свою транзакцию в блок-эксплорере и увидеть адреса всех остальных, получивших платеж в той же транзакции. Вы не знаете, кто эти получатели, но знаете, что они получили биткоины от Кракена так же, как и вы.
Это не очень хорошо для приватности, но, возможно, это не самое страшное. Если бы Кракен осуществил каждый из платежей отдельно, эти платежи все равно могли бы быть связаны между собой через выходные данные сдачи и, возможно, также с помощью некоторых других идентифицирующих характеристик, которые компании и частные лица, анализирующие цепочку, используют для идентификации конкретных участников сети.
Однако это следует иметь в виду, если вы планируете провести комбинированный платеж в том случае, когда конфиденциальность может быть либо особенно важной, либо уже несколько ослабленной, например,при начислении заработной платы в небольшой компании, где вы не хотите, чтобы сотрудники знали зарплату коллег.
Постепенно растущий материал "Приватность в сети Биткоин” можно найти по этой ссылке, а оригинал — здесь.
#приватность
#дляпро
Пакетирование платежей — это метод, позволяющий уменьшить комиссию за майнинг. Он работает путем объединения нескольких платежей в одну блокчейн транзакцию. Обычно он используется биржами, казино и другими крупногабаритными клиентами.
Компромиссом в данной ситуации является то, что получатели могут видеть сумму и адрес друг друга.
Получив вывод средств с биржи Кракен, например, вы можете просмотреть свою транзакцию в блок-эксплорере и увидеть адреса всех остальных, получивших платеж в той же транзакции. Вы не знаете, кто эти получатели, но знаете, что они получили биткоины от Кракена так же, как и вы.
Это не очень хорошо для приватности, но, возможно, это не самое страшное. Если бы Кракен осуществил каждый из платежей отдельно, эти платежи все равно могли бы быть связаны между собой через выходные данные сдачи и, возможно, также с помощью некоторых других идентифицирующих характеристик, которые компании и частные лица, анализирующие цепочку, используют для идентификации конкретных участников сети.
Однако это следует иметь в виду, если вы планируете провести комбинированный платеж в том случае, когда конфиденциальность может быть либо особенно важной, либо уже несколько ослабленной, например,при начислении заработной платы в небольшой компании, где вы не хотите, чтобы сотрудники знали зарплату коллег.
Постепенно растущий материал "Приватность в сети Биткоин” можно найти по этой ссылке, а оригинал — здесь.
#приватность
#дляпро
Forwarded from 21 идея
Проведение оплаты тайным покупателем
Проведение оплаты тайным покупателем происходит, когда злоумышленник платит биткоины жертве с целью получения конфиденциальной информации. Этот вид атаки продуктивен, даже если жертва избегает повторное использование адреса. Например, если целью является онлайн-продавец, то злоумышленник может произвести незначительную покупку; в интерфейсе платежа им будет показан один из биткоин-адресов продавца. Теперь злоумышленник знает, что этот адрес принадлежит продавцу, и, при наблюдении за последующими транзакциями на блокчейне, будет обнаружена другая информация, которая в сочетании с другими методами слежки может раскрыть много данных о продавце. Эвристика мульти-ввода и обнаружение адреса сдачи может выявить другие адреса, принадлежащие продавцу (при условии, что контрмеры, такие как CoinJoin не используются), и может предоставить информацию о минимальном объеме продаж. Этот метод функционален, потому что любой интернет-пользователь может запросить один из адресов продавца.
Постепенно растущий материал "Приватность в сети Биткоин” можно найти по этой ссылке, а оригинал — здесь.
#приватность
#дляпро
Проведение оплаты тайным покупателем происходит, когда злоумышленник платит биткоины жертве с целью получения конфиденциальной информации. Этот вид атаки продуктивен, даже если жертва избегает повторное использование адреса. Например, если целью является онлайн-продавец, то злоумышленник может произвести незначительную покупку; в интерфейсе платежа им будет показан один из биткоин-адресов продавца. Теперь злоумышленник знает, что этот адрес принадлежит продавцу, и, при наблюдении за последующими транзакциями на блокчейне, будет обнаружена другая информация, которая в сочетании с другими методами слежки может раскрыть много данных о продавце. Эвристика мульти-ввода и обнаружение адреса сдачи может выявить другие адреса, принадлежащие продавцу (при условии, что контрмеры, такие как CoinJoin не используются), и может предоставить информацию о минимальном объеме продаж. Этот метод функционален, потому что любой интернет-пользователь может запросить один из адресов продавца.
Постепенно растущий материал "Приватность в сети Биткоин” можно найти по этой ссылке, а оригинал — здесь.
#приватность
#дляпро
Forwarded from 21 идея
Принудительное повторное использование адреса
Принудительное повторное использование адресов или стимулированное повторное использование адресов — это когда злоумышленник выплачивает (часто небольшое) количество биткоинов на адреса, которые уже были активны. Злоумышленник надеется, что пользователи или ПО их кошелька используют эти платежи в качестве входных данных для более крупной транзакции, которая приведет к обнаружению других адресов с помощью эвристики мульти-ввода. Эти платежи можно воспринимать как способ вынудить владельца адреса к непреднамеренному повторному использованию адресов.
Эту атаку иногда ошибочно называют атакой dust (пыль).
Безопасным поведением кошельков будет считаться отказ от траты монет, попавших на уже использованные пустые адреса.
Постепенно растущий материал "Приватность в сети Биткоин” можно найти по этой ссылке, а оригинал — здесь.
#приватность
#дляпро
Принудительное повторное использование адресов или стимулированное повторное использование адресов — это когда злоумышленник выплачивает (часто небольшое) количество биткоинов на адреса, которые уже были активны. Злоумышленник надеется, что пользователи или ПО их кошелька используют эти платежи в качестве входных данных для более крупной транзакции, которая приведет к обнаружению других адресов с помощью эвристики мульти-ввода. Эти платежи можно воспринимать как способ вынудить владельца адреса к непреднамеренному повторному использованию адресов.
Эту атаку иногда ошибочно называют атакой dust (пыль).
Безопасным поведением кошельков будет считаться отказ от траты монет, попавших на уже использованные пустые адреса.
Постепенно растущий материал "Приватность в сети Биткоин” можно найти по этой ссылке, а оригинал — здесь.
#приватность
#дляпро
Forwarded from 21 идея
Итак, перевод раздела “Блокчейн-атаки на приватность” готов. Оглавление вы можете найти ниже. Постепенно растущий материал "Приватность в сети Биткоин” можно найти по этой ссылке, а оригинал — здесь. Работа продолжается ✊
3.0 Втупление:
https://t.iss.one/bitcoin_translated/151
3.1 Эвристика мульти-ввода
https://t.iss.one/bitcoin_translated/153
3.2 Обнаружение адреса-получателя сдачи
https://t.iss.one/bitcoin_translated/160
3.2.1 Повторное использование адреса
https://t.iss.one/bitcoin_translated/163
3.2.2 Анализ отпечатков кошелька
https://t.iss.one/bitcoin_translated/168
https://t.iss.one/bitcoin_translated/169
3.2.3 Круглые числа
https://t.iss.one/bitcoin_translated/171
3.2.4 Изменение комиссии
https://t.iss.one/bitcoin_translated/176
3.2.5 Эвристика лишних входных данных
https://t.iss.one/bitcoin_translated/186
3.2.6 Отправка на другой тип скрипта
https://t.iss.one/bitcoin_translated/188
3.2.7 Баги кошелька
https://t.iss.one/bitcoin_translated/194
3.2.8 CoinJoin транзакции с идентичными выходами (Equal-output-CoinJoin)
https://t.iss.one/bitcoin_translated/199
3.2.9 Рост размера кластера
https://t.iss.one/bitcoin_translated/205
3.3 Эвристика графа транзакций
https://t.iss.one/bitcoin_translated/210
3.3.1 Taint-анализ (анализ запятнанных монет)
https://t.iss.one/bitcoin_translated/214
3.4 Сумма
https://t.iss.one/bitcoin_translated/221
3.4.1 Значения входных данных, раскрывающие средства на балансе отправителя
https://t.iss.one/bitcoin_translated/224
3.4.2 Отправка всех средств с адреса (без сдачи)
https://t.iss.one/bitcoin_translated/232
3.5 Пакетирование
https://t.iss.one/bitcoin_translated/237
3.6 Необычные скрипты
https://t.iss.one/bitcoin_translated/241
3.7 Оплата тайного покупателя
https://t.iss.one/bitcoin_translated/245
3.8 Принудительное повторное использование адреса
https://t.iss.one/bitcoin_translated/252
3.9 Соотношение сумм
https://t.iss.one/bitcoin_translated/256
3.10 Временнáя корреляция
https://t.iss.one/bitcoin_translated/281
Следующий раздел предоставит информацию о возможных атаках на приватность вне блокчейна.
#приватность
#дляпро
3.0 Втупление:
https://t.iss.one/bitcoin_translated/151
3.1 Эвристика мульти-ввода
https://t.iss.one/bitcoin_translated/153
3.2 Обнаружение адреса-получателя сдачи
https://t.iss.one/bitcoin_translated/160
3.2.1 Повторное использование адреса
https://t.iss.one/bitcoin_translated/163
3.2.2 Анализ отпечатков кошелька
https://t.iss.one/bitcoin_translated/168
https://t.iss.one/bitcoin_translated/169
3.2.3 Круглые числа
https://t.iss.one/bitcoin_translated/171
3.2.4 Изменение комиссии
https://t.iss.one/bitcoin_translated/176
3.2.5 Эвристика лишних входных данных
https://t.iss.one/bitcoin_translated/186
3.2.6 Отправка на другой тип скрипта
https://t.iss.one/bitcoin_translated/188
3.2.7 Баги кошелька
https://t.iss.one/bitcoin_translated/194
3.2.8 CoinJoin транзакции с идентичными выходами (Equal-output-CoinJoin)
https://t.iss.one/bitcoin_translated/199
3.2.9 Рост размера кластера
https://t.iss.one/bitcoin_translated/205
3.3 Эвристика графа транзакций
https://t.iss.one/bitcoin_translated/210
3.3.1 Taint-анализ (анализ запятнанных монет)
https://t.iss.one/bitcoin_translated/214
3.4 Сумма
https://t.iss.one/bitcoin_translated/221
3.4.1 Значения входных данных, раскрывающие средства на балансе отправителя
https://t.iss.one/bitcoin_translated/224
3.4.2 Отправка всех средств с адреса (без сдачи)
https://t.iss.one/bitcoin_translated/232
3.5 Пакетирование
https://t.iss.one/bitcoin_translated/237
3.6 Необычные скрипты
https://t.iss.one/bitcoin_translated/241
3.7 Оплата тайного покупателя
https://t.iss.one/bitcoin_translated/245
3.8 Принудительное повторное использование адреса
https://t.iss.one/bitcoin_translated/252
3.9 Соотношение сумм
https://t.iss.one/bitcoin_translated/256
3.10 Временнáя корреляция
https://t.iss.one/bitcoin_translated/281
Следующий раздел предоставит информацию о возможных атаках на приватность вне блокчейна.
#приватность
#дляпро
Forwarded from 21 идея
Приватность в сети Биткоин: значимые события июля 2020 (2/2)
— 14 июля 🏯 повторное использование адресов в Samourai Wallet
Samourai Wallet опубликовал обзор, посвященный актуальным уязвимостям, идентифицирующий случаи как преднамеренного, так и непреднамеренного повторного использования адресов пользователями. Хотя они рассматривали обе категории, анализ “главным образом касался непреднамеренных повторных использований адресов”.
— 15 июля ✒️ Судебный иск против налогового управления на основе четвертой поправки к конституции США
Джим Харпер, научный сотрудник American Enterprise Institute, бывший старший научный сотрудник CATO Institute и член Bitcoin Foundation, подал иск на налоговое управление США в связи с предполагаемым нарушением ими его прав и свобод относительно четвертой поправки к конституции США. Поправка запрещает необоснованные обыски и задержания, а также требует, чтобы любые ордеры на обыск выдавались судом при наличии достаточных оснований, исключая случаи федерального законодательства. В деле вновь замешана компания Coinbase и одной из причин иска является неправомерное использование информации о клиентах.
— 20 июля 🛂 “как я узнал твоего клиента”
Ряд кастодиальных бирж создали рабочую группу для разработки коллективного решения “с целью соответствия правилам FATF”, позволяющего им обмениваться клиентскими данными.
— 24 июля 👾 Активация Шнорр и Тапрут
Состоялось собрание клуба Bitcoin Core PR Review, организованного Джоном Ньюберри. На собрании обсуждалась реализация Шнорр, Тапрут и BIP’ов: 340, 341 и 342. Более ста человек участвовали в обсуждении, в частности об алгоритме хеширования транзакций Тапрут. Записи доступны по этой ссылке.
— 29 июля 📧 Ledger сообщил об утечке маркетинговых данных
- 1M адресов электронной почты;
- Данные 9500 клиентов, такие как полное имя, почтовый адрес, номер телефона или заказанные продукты.
Такие данные могут представлять опасность для клиентов, поскольку открывают векторы физической атаки на потенциальных держателей криптовалют. (h/t Hype Coin News)
#приватность
— 14 июля 🏯 повторное использование адресов в Samourai Wallet
Samourai Wallet опубликовал обзор, посвященный актуальным уязвимостям, идентифицирующий случаи как преднамеренного, так и непреднамеренного повторного использования адресов пользователями. Хотя они рассматривали обе категории, анализ “главным образом касался непреднамеренных повторных использований адресов”.
— 15 июля ✒️ Судебный иск против налогового управления на основе четвертой поправки к конституции США
Джим Харпер, научный сотрудник American Enterprise Institute, бывший старший научный сотрудник CATO Institute и член Bitcoin Foundation, подал иск на налоговое управление США в связи с предполагаемым нарушением ими его прав и свобод относительно четвертой поправки к конституции США. Поправка запрещает необоснованные обыски и задержания, а также требует, чтобы любые ордеры на обыск выдавались судом при наличии достаточных оснований, исключая случаи федерального законодательства. В деле вновь замешана компания Coinbase и одной из причин иска является неправомерное использование информации о клиентах.
— 20 июля 🛂 “как я узнал твоего клиента”
Ряд кастодиальных бирж создали рабочую группу для разработки коллективного решения “с целью соответствия правилам FATF”, позволяющего им обмениваться клиентскими данными.
— 24 июля 👾 Активация Шнорр и Тапрут
Состоялось собрание клуба Bitcoin Core PR Review, организованного Джоном Ньюберри. На собрании обсуждалась реализация Шнорр, Тапрут и BIP’ов: 340, 341 и 342. Более ста человек участвовали в обсуждении, в частности об алгоритме хеширования транзакций Тапрут. Записи доступны по этой ссылке.
— 29 июля 📧 Ledger сообщил об утечке маркетинговых данных
- 1M адресов электронной почты;
- Данные 9500 клиентов, такие как полное имя, почтовый адрес, номер телефона или заказанные продукты.
Такие данные могут представлять опасность для клиентов, поскольку открывают векторы физической атаки на потенциальных держателей криптовалют. (h/t Hype Coin News)
#приватность
Forwarded from Crypto Lemon (Lemon [@lemon_crypto])
#защита_инвестиций #приватность
Нашел подборку неплохих статей на Хабре насчет собственно защиты информации. После их прочтения (чего и вам советую) в очередной раз убедился что защита целостности и конфиденциальности любой информации это всегда комплексная мера, а не только условный Tor как многие полагают.
1. Виды угроз
Статья о собственно видах угроз и возможных векторах атаки на информацию
2. Средства защиты
Собственно об основных способах защиты информации
3. Цена ошибки
Что случится, если вы забьете болт на это дело, прикрываясь старым-добрым "Ну меня это точно не коснется!"
К этому разделу хочу добавить недавний пример, показательный так сказать:
Кулхацкеры закодировали данные компании Garmin, так, как там наверное тоже думали что "ну нас не коснется", и потребовали выкуп в 10 миллионов долларов. Пришлось платить. Пожадничали на защиту миллион баксов раньше, заплатили в 10 раз больше. Собственно вы от этой компании (в плане уязвимости и мотивации вас взламывать) ничем не отличаетесь. Я бы даже сказал, что более простая жертва ☺️
Статьи написаны немного академично, но полезной информации, хоть на первый взгляд все кажется очевидным (люблю это слово, чаще всего те, кто его произносят, попадаются на этом очевидно) , хватает. Советую к прочтению
Нашел подборку неплохих статей на Хабре насчет собственно защиты информации. После их прочтения (чего и вам советую) в очередной раз убедился что защита целостности и конфиденциальности любой информации это всегда комплексная мера, а не только условный Tor как многие полагают.
1. Виды угроз
Статья о собственно видах угроз и возможных векторах атаки на информацию
2. Средства защиты
Собственно об основных способах защиты информации
3. Цена ошибки
Что случится, если вы забьете болт на это дело, прикрываясь старым-добрым "Ну меня это точно не коснется!"
К этому разделу хочу добавить недавний пример, показательный так сказать:
Кулхацкеры закодировали данные компании Garmin, так, как там наверное тоже думали что "ну нас не коснется", и потребовали выкуп в 10 миллионов долларов. Пришлось платить. Пожадничали на защиту миллион баксов раньше, заплатили в 10 раз больше. Собственно вы от этой компании (в плане уязвимости и мотивации вас взламывать) ничем не отличаетесь. Я бы даже сказал, что более простая жертва ☺️
Статьи написаны немного академично, но полезной информации, хоть на первый взгляд все кажется очевидным (люблю это слово, чаще всего те, кто его произносят, попадаются на этом очевидно) , хватает. Советую к прочтению
Хабр
Основы информационной безопасности. Часть 1: Виды угроз
Безопасность виртуального сервера может быть рассмотрена только непосредственно как «информационная безопасность» . Многие слышали это словосочетание, но не все понимают, что же это такое?...