#защита_инвестиций
Меня попросили написать что то о взломе Kucoin-a 25-26 сентября. Вот только "что то" и могу написать (то, о чем кричат с каждого утюга и я уже писал много раз):
1. Не держите деньги на бирже.
Если вы не трейдер, и не торгуете с определенной частотой, то воспринимать шаражки с регистрацией в Гонконге или другом оффшоре как место где можно держать свои бабки - это диагноз. Таких людей уже даже не жалко.
Но интересный момент на который почему то никто из криптоканалов (по крайней мере из тех которые я читаю) не обращает внимание, так это на то, как собственно произошел взлом. Об этом даже не знают разработчики тех криптовалют и ерс-20 токенов которые украли хакеры, вот вам цитата из объявления проекта digitex:
"KuCoin hasn’t yet confirmed exactly what happened"
Ну тоесть хакеры взяли, горчие кошельки угнали, криптой обогатились. Вот вам и все сведения. Притом, что прошло уже добрых 6 дней, за такое время в былые времена появлялись разборы взломов DAO, алгоритма ERC-20 (да, веселый взлом был, функция определения хозяина контракта была публичной и к ней мог обратиться любой и переподвязать все на себя) и так далее.
Не то, что я намекаю что биржа украла эти бабки. Скорее всего просто ключи были просранны самым тупым и идиотским методом из-за напоевательства и пофигизма самой биржи, и если об этом узнают, то таким раздолбаям никто даже копейки не даст больше. Вот и молчат.
А так то, классика. Пару раз в году бывает.
_______
Source: https://t.iss.one/lemon_crypto/496
Меня попросили написать что то о взломе Kucoin-a 25-26 сентября. Вот только "что то" и могу написать (то, о чем кричат с каждого утюга и я уже писал много раз):
1. Не держите деньги на бирже.
Если вы не трейдер, и не торгуете с определенной частотой, то воспринимать шаражки с регистрацией в Гонконге или другом оффшоре как место где можно держать свои бабки - это диагноз. Таких людей уже даже не жалко.
Но интересный момент на который почему то никто из криптоканалов (по крайней мере из тех которые я читаю) не обращает внимание, так это на то, как собственно произошел взлом. Об этом даже не знают разработчики тех криптовалют и ерс-20 токенов которые украли хакеры, вот вам цитата из объявления проекта digitex:
"KuCoin hasn’t yet confirmed exactly what happened"
Ну тоесть хакеры взяли, горчие кошельки угнали, криптой обогатились. Вот вам и все сведения. Притом, что прошло уже добрых 6 дней, за такое время в былые времена появлялись разборы взломов DAO, алгоритма ERC-20 (да, веселый взлом был, функция определения хозяина контракта была публичной и к ней мог обратиться любой и переподвязать все на себя) и так далее.
Не то, что я намекаю что биржа украла эти бабки. Скорее всего просто ключи были просранны самым тупым и идиотским методом из-за напоевательства и пофигизма самой биржи, и если об этом узнают, то таким раздолбаям никто даже копейки не даст больше. Вот и молчат.
А так то, классика. Пару раз в году бывает.
_______
Source: https://t.iss.one/lemon_crypto/496
Forwarded from Crypto Lemon (Lemon)
#защита_инвестиций #Важно
К предыдущему посту...
Как безопасно и удобно хранить разные суммы биткоинов для разных целей
Сделаю короткий очерк интересного способа, без лишних углублений (кому нужно будет сам продолжит).
Нам необходимо иметь много разных аккаунтов (например для рекламы, для получения донатов, для хранения жирных сумм, пару кошельков обманок), да так, чтобы компроментация одного кошелька/адреса не приводила автоматом к потере всех средств.
Сразу небось приходит в голову идея хранить n-е количество приватников на бумажке и использовать их?) Но это во первых, жутко неудобно, во вторых, не очень то и безопасно, так как такой способ невероятно уязвим к человеческой ошибке (например жена ваша убиралась и выбросила все бумажки :) )
Есть способ получше (благодаря BIP39, BIP44): Seed + passphrase
1. Генерируете сид в любом кошельке (лучше если 24 слова, но с 12-ю тоже работать будет)
2. Придумываете собственно passphrase которая и не простая (хотябы уровня слабого пароля. Как делать пароли вот у меня пост) но и которую вы никогда не забудете.
3. Добавляете до passphrase соль, которая будет соответствовать нужному вам кошельку. Это может быть как "01", "02", "03" так и например связка passphraseCOMMERCIAL .
Собственно эту связку, passphrase + соль (salt) используете как аргумент в оффлайн утилите генерации хэшей (подойдет любой, хотя нет, md5 и такое старье лучше не брать. Выбирайте sha1-sha2) и вот собственно получившийся хэш используете как 25-е слово к сиду. Вот как это будет примерно выглядеть:
1. (Первый кошелек): seed + sha2("passphrase-которую-я-всегда-помню01")
2. (Второй): seed + sha2("passphrase-которую-я-всегда-помню02")
Сложно? :)
Что оно дает:
1. Высокую секьюрность. Условному хакеру нужно узнать сид + алгоритм генерации (выше только один ИЗ возможных) + мастер пароль (passphrase ваша которую вы всегда помните). Тот же сид, можно хоть на лбу себе написать, без алгоритма деривации и мастер пароля от него толку немного.
2. Высокую гибкость. Для каждой цели у вас своя связка сид + мастер пароль, которые довольно сложно забыть. Также, вы можете с нужной вам связки взять xPub (вот здесь например - https://iancoleman.io/bip39/) генерировать новые адреса под каждую новую транзакцию (например xPub от связки seed + sha2("passphraseCOMMERCIAL") )
3. Высокую мобильность. Закинули сид в инстраграм, пароль и способ деривации у вас в голове, и провезли даже через самую внимательную границу хоть миллион биткоинов.
Вот так то, биткоин изящный и гениальный :)
Пару полезных ссылочек для самостоятельного ознакомления:
1. https://wiki.trezor.io/Passphrase#:~:text=Passphrase%20is%20an%20optional%20feature,device%20or%20the%20recovery%20seed
2. https://github.com/bitcoin/bips/blob/master/bip-0039.mediawiki
3. https://github.com/bitcoin/bips/blob/master/bip-0044.mediawiki
К предыдущему посту...
Как безопасно и удобно хранить разные суммы биткоинов для разных целей
Сделаю короткий очерк интересного способа, без лишних углублений (кому нужно будет сам продолжит).
Нам необходимо иметь много разных аккаунтов (например для рекламы, для получения донатов, для хранения жирных сумм, пару кошельков обманок), да так, чтобы компроментация одного кошелька/адреса не приводила автоматом к потере всех средств.
Сразу небось приходит в голову идея хранить n-е количество приватников на бумажке и использовать их?) Но это во первых, жутко неудобно, во вторых, не очень то и безопасно, так как такой способ невероятно уязвим к человеческой ошибке (например жена ваша убиралась и выбросила все бумажки :) )
Есть способ получше (благодаря BIP39, BIP44): Seed + passphrase
1. Генерируете сид в любом кошельке (лучше если 24 слова, но с 12-ю тоже работать будет)
2. Придумываете собственно passphrase которая и не простая (хотябы уровня слабого пароля. Как делать пароли вот у меня пост) но и которую вы никогда не забудете.
3. Добавляете до passphrase соль, которая будет соответствовать нужному вам кошельку. Это может быть как "01", "02", "03" так и например связка passphraseCOMMERCIAL .
Собственно эту связку, passphrase + соль (salt) используете как аргумент в оффлайн утилите генерации хэшей (подойдет любой, хотя нет, md5 и такое старье лучше не брать. Выбирайте sha1-sha2) и вот собственно получившийся хэш используете как 25-е слово к сиду. Вот как это будет примерно выглядеть:
1. (Первый кошелек): seed + sha2("passphrase-которую-я-всегда-помню01")
2. (Второй): seed + sha2("passphrase-которую-я-всегда-помню02")
Сложно? :)
Что оно дает:
1. Высокую секьюрность. Условному хакеру нужно узнать сид + алгоритм генерации (выше только один ИЗ возможных) + мастер пароль (passphrase ваша которую вы всегда помните). Тот же сид, можно хоть на лбу себе написать, без алгоритма деривации и мастер пароля от него толку немного.
2. Высокую гибкость. Для каждой цели у вас своя связка сид + мастер пароль, которые довольно сложно забыть. Также, вы можете с нужной вам связки взять xPub (вот здесь например - https://iancoleman.io/bip39/) генерировать новые адреса под каждую новую транзакцию (например xPub от связки seed + sha2("passphraseCOMMERCIAL") )
3. Высокую мобильность. Закинули сид в инстраграм, пароль и способ деривации у вас в голове, и провезли даже через самую внимательную границу хоть миллион биткоинов.
Вот так то, биткоин изящный и гениальный :)
Пару полезных ссылочек для самостоятельного ознакомления:
1. https://wiki.trezor.io/Passphrase#:~:text=Passphrase%20is%20an%20optional%20feature,device%20or%20the%20recovery%20seed
2. https://github.com/bitcoin/bips/blob/master/bip-0039.mediawiki
3. https://github.com/bitcoin/bips/blob/master/bip-0044.mediawiki
iancoleman.io
BIP39 - Mnemonic Code
bitcoin mnemonic converter
Forwarded from CryptoВорчун™
Анонимности не существует
Есть лишь невозможность собрать достаточную доказательную базу о том, что вы верблюд. Поэтому если хотите что-то спрятать, прячьте на видном месте.
Я о том, что в принципе Хорошие сценарии сделать свои биткоины анонимными, но...
Можно вообще ничего не делать, даже если собственный холодный адрес «о котором все знают» везде засвечен. Почему? Потому, что только вы признаете то, что он ваш собственный.
Для стороннего наблюдателя, это «используемый вами адрес», физического доступа к которому, вы возможно и не имеете вовсе. А де-юре с доказательной базой привязать вас к этому адресу как выгодополучателя может только непосредственная запись как вы получаете к нему доступ.
Во всех остальных случаях, то что адрес принадлежит вам, всего лишь домыслы. А возможно это вообще кошелек вашего родственника, гражданина Нигерии (нынче модно), который по доброте душевной является душеприказчиком вашего криптосостояния. Хотя оно вовсе и не ваше на самом деле.
Так что не хочешь быть замеченным? Не суетись. В остальном же, «был бы человек, статья найдется». И это тоже следует иметь ввиду.
Есть лишь невозможность собрать достаточную доказательную базу о том, что вы верблюд. Поэтому если хотите что-то спрятать, прячьте на видном месте.
Я о том, что в принципе Хорошие сценарии сделать свои биткоины анонимными, но...
Можно вообще ничего не делать, даже если собственный холодный адрес «о котором все знают» везде засвечен. Почему? Потому, что только вы признаете то, что он ваш собственный.
Для стороннего наблюдателя, это «используемый вами адрес», физического доступа к которому, вы возможно и не имеете вовсе. А де-юре с доказательной базой привязать вас к этому адресу как выгодополучателя может только непосредственная запись как вы получаете к нему доступ.
Во всех остальных случаях, то что адрес принадлежит вам, всего лишь домыслы. А возможно это вообще кошелек вашего родственника, гражданина Нигерии (нынче модно), который по доброте душевной является душеприказчиком вашего криптосостояния. Хотя оно вовсе и не ваше на самом деле.
Так что не хочешь быть замеченным? Не суетись. В остальном же, «был бы человек, статья найдется». И это тоже следует иметь ввиду.
Telegram
Crypto Lemon
#защита_инвестиций
Вот что пришло в бота: "Добрый день! Остро встал вопрос анонимизации собственных BTC, по причине возможности принятия поправок к закону о ЦФА, т.к. по недальновидности завёл на биржу фиат через карту напрямую и, к сожалению, почти всегда…
Вот что пришло в бота: "Добрый день! Остро встал вопрос анонимизации собственных BTC, по причине возможности принятия поправок к закону о ЦФА, т.к. по недальновидности завёл на биржу фиат через карту напрямую и, к сожалению, почти всегда…
#защита_инвестиций
Часто слышу идею мол "лень иметь большие адреса в биткоине, давайте введем фичу чтобы можно было отправлять деньги на более короткие словосочетания, например как в логины в Телеграмм"
Результат можно увидеть в этом посте . Как можно понять из поста, были украдены деньги с Coinbase кошелька. Как именно: Компьютер по всей видимости был заражен так называемым clipping malware, у меня был пост о нем (и даже не один!). Каждый такой вирус имеет небольшую БД с огромного количества адресов, и когда вы копируете нужный вам адрес в буфер обмена, подменяет его похожим. Похожими в основном являются первые 4-5 символов (на которые в основном только и смотрят люди). А так как Coinbase не отображает полный адрес, а только его начальную часть, то это просто бинго для хакеров! По сути вероятность успеха многократно растет (я уже советовал не пользоваться Coinbase кошельком, они помимо идиотской реализации отправки еще любят рассылать письма счастья своим клиентам)
По итогу, имплементация идеи "коротких" адресов, более похожих на ники, стала бы лучшим новогодним подарком для разработчиков clipping малвари. Так что в мусорку такие "упрощения"!
_______
Source: https://t.iss.one/lemon_crypto/523
Часто слышу идею мол "лень иметь большие адреса в биткоине, давайте введем фичу чтобы можно было отправлять деньги на более короткие словосочетания, например как в логины в Телеграмм"
Результат можно увидеть в этом посте . Как можно понять из поста, были украдены деньги с Coinbase кошелька. Как именно: Компьютер по всей видимости был заражен так называемым clipping malware, у меня был пост о нем (и даже не один!). Каждый такой вирус имеет небольшую БД с огромного количества адресов, и когда вы копируете нужный вам адрес в буфер обмена, подменяет его похожим. Похожими в основном являются первые 4-5 символов (на которые в основном только и смотрят люди). А так как Coinbase не отображает полный адрес, а только его начальную часть, то это просто бинго для хакеров! По сути вероятность успеха многократно растет (я уже советовал не пользоваться Coinbase кошельком, они помимо идиотской реализации отправки еще любят рассылать письма счастья своим клиентам)
По итогу, имплементация идеи "коротких" адресов, более похожих на ники, стала бы лучшим новогодним подарком для разработчиков clipping малвари. Так что в мусорку такие "упрощения"!
_______
Source: https://t.iss.one/lemon_crypto/523
reddit
WARNING!Please guys be extremely careful!
Posted in r/Bitcoin by u/seraf1990 • 422 points and 291 comments
#защита_инвестиций
Думаю вы уже давно в курсе насчет canvas fingerprinting, материалами кишит весь интернет. И также в курсе, что есть расширения которые их блокируют. Или отправляют в ответ фейковые "отпечатки"
Сейчас довольно часто вижу посты, даже вот от довольно толковых каналов, мол всякие браузерные расширения это фигня, сайты при выполнении скриптов flash, java и прочих могут видеть что у тебя установлено на браузере, и мол если у тебя много всего, то это тоже в своем роде фингерпринтинг. Соглашусь, так как если у вас стоит миллион расширений, то вас также можно легко вычислить из толпы. Но предположим что их у вас 1-2 (самых необходимых).
У критиков всяких canvas blocker-ов часто слышу аргумент про "не выделяться из толпы", мол если вы на себя оденете условный бронижилет, то в толпе вы будете привлекать больше внимания чем обычный белый воротничок. И на первый взгляд оно ведь так.
Но по сути это ведь подмена понятий!
В чем суть "не выделяться из толпы" если вы идете по улице? Ну как бы предполагается, что взгляд некоего Большого Брата (будь то человек за камерой или нейросеть) не сможет в силу ограничения на когнитивные процессы выщелкнуть вас из толпы, так как толпа по сути сливается в единое целое для него. Это в большей мере правда. Но ведь в Сети все совершенно не так. Нет никакого "слияния" с некоей "толпой". Нет толпы просто, в Сети каждый это IP + набор отпечатков (fingerprints) и куки. Переходя на сайт, хоть даже вместе с сотней пользователей, система знает , что вы это вы, а Вася это Вася. Считайте, что вы проходите под камерой через рамку металлоискателя, а у охраны лежит полное досье на вас. Вот корректная аналогия в данном случае.
Если же вы ставите себе условный CanvasBlocker (16 тысяч пользователей) и например некий VPN сервис, (предположим 10 тысяч пользователей) и допустим людей, которые тоже имеют два именно этих (не больше ни меньше) расширения вместе с вами, около трех сотен. То ситуация получается следующая: Большой Брат видит что зашел пользователь с такими то расширениями, но не видит кто конкретно из этих 300 человек.
В случае же отсутствия расширений, Большой Брат знает что вы это именно вы! Видит совпадение IP, видит совпадение fingerprints, cookies и так далее. В таком случае некорректно говорить ни о каком слиянии с толпой, ведь толпы то нет, есть вы, как на ладони.
Лично я, как можно догадаттся, положительно отношусь к расширениям (учитывая что некоторые из них блокируют те же запросы на просмотр расширений) и считаю что чем больше людей используют их тем лучше.
По поводу fingerprints: с версии Firefox 67 у вас есть настройки в самом браузере для блокировки фингер принтов. Браузер отсылает пустой "холст" сайту в ответ. Поиграйтесь с настройками, посмотрите.
_______
Source: https://t.iss.one/lemon_crypto/529
Думаю вы уже давно в курсе насчет canvas fingerprinting, материалами кишит весь интернет. И также в курсе, что есть расширения которые их блокируют. Или отправляют в ответ фейковые "отпечатки"
Сейчас довольно часто вижу посты, даже вот от довольно толковых каналов, мол всякие браузерные расширения это фигня, сайты при выполнении скриптов flash, java и прочих могут видеть что у тебя установлено на браузере, и мол если у тебя много всего, то это тоже в своем роде фингерпринтинг. Соглашусь, так как если у вас стоит миллион расширений, то вас также можно легко вычислить из толпы. Но предположим что их у вас 1-2 (самых необходимых).
У критиков всяких canvas blocker-ов часто слышу аргумент про "не выделяться из толпы", мол если вы на себя оденете условный бронижилет, то в толпе вы будете привлекать больше внимания чем обычный белый воротничок. И на первый взгляд оно ведь так.
Но по сути это ведь подмена понятий!
В чем суть "не выделяться из толпы" если вы идете по улице? Ну как бы предполагается, что взгляд некоего Большого Брата (будь то человек за камерой или нейросеть) не сможет в силу ограничения на когнитивные процессы выщелкнуть вас из толпы, так как толпа по сути сливается в единое целое для него. Это в большей мере правда. Но ведь в Сети все совершенно не так. Нет никакого "слияния" с некоей "толпой". Нет толпы просто, в Сети каждый это IP + набор отпечатков (fingerprints) и куки. Переходя на сайт, хоть даже вместе с сотней пользователей, система знает , что вы это вы, а Вася это Вася. Считайте, что вы проходите под камерой через рамку металлоискателя, а у охраны лежит полное досье на вас. Вот корректная аналогия в данном случае.
Если же вы ставите себе условный CanvasBlocker (16 тысяч пользователей) и например некий VPN сервис, (предположим 10 тысяч пользователей) и допустим людей, которые тоже имеют два именно этих (не больше ни меньше) расширения вместе с вами, около трех сотен. То ситуация получается следующая: Большой Брат видит что зашел пользователь с такими то расширениями, но не видит кто конкретно из этих 300 человек.
В случае же отсутствия расширений, Большой Брат знает что вы это именно вы! Видит совпадение IP, видит совпадение fingerprints, cookies и так далее. В таком случае некорректно говорить ни о каком слиянии с толпой, ведь толпы то нет, есть вы, как на ладони.
Лично я, как можно догадаттся, положительно отношусь к расширениям (учитывая что некоторые из них блокируют те же запросы на просмотр расширений) и считаю что чем больше людей используют их тем лучше.
По поводу fingerprints: с версии Firefox 67 у вас есть настройки в самом браузере для блокировки фингер принтов. Браузер отсылает пустой "холст" сайту в ответ. Поиграйтесь с настройками, посмотрите.
_______
Source: https://t.iss.one/lemon_crypto/529
Mozilla
Firefox blocks fingerprinting
Fingerprinting is a type of online tracking that’s more invasive than ordinary cookie-based tracking — that’s why Firefox Browser blocks it.
#защита_инвестиций #Ledger_hack
Как я и предполагал, все эти смс на телефон от "наркоманов и бандитов" являются фишингом. Довольно необычным, который ближе к угрозам и сталкингу, но все же не особо опасным (иначе не просили бы по 200-300 евро)
Угрозы поляку
Угрозы чеху
Еще угрозы
В таких ситуациях стоит и вправду обратиться в полицию, но и самому подготовиться (особенно учитывая качество полиции в СНГ. Здесь вам машину под дом для охраны как в Европе или Америке никто не пришлет)
Но масштабы конечно поражают, люди в комментах пишут что им фишинговый спам идет и на почту и на номер телефона, некоторым по 5-6 раз в день. Жопы ясное дело у людей горят нереально
Но реальная угроза (если конечно вы не криптомиллионер и вас уже не пробивают серъезные люди) это подмена симки. Вот очередная история. Человеку в данном случае просто повезло. И заметьте, история не от жителя из СНГ, там то симку подменить вообще как два пальца. Поэтому в первую очередь озаботьтесь сменой номера телефона. Такие дела
_______
Source: https://t.iss.one/lemon_crypto/534
Как я и предполагал, все эти смс на телефон от "наркоманов и бандитов" являются фишингом. Довольно необычным, который ближе к угрозам и сталкингу, но все же не особо опасным (иначе не просили бы по 200-300 евро)
Угрозы поляку
Угрозы чеху
Еще угрозы
В таких ситуациях стоит и вправду обратиться в полицию, но и самому подготовиться (особенно учитывая качество полиции в СНГ. Здесь вам машину под дом для охраны как в Европе или Америке никто не пришлет)
Но масштабы конечно поражают, люди в комментах пишут что им фишинговый спам идет и на почту и на номер телефона, некоторым по 5-6 раз в день. Жопы ясное дело у людей горят нереально
Но реальная угроза (если конечно вы не криптомиллионер и вас уже не пробивают серъезные люди) это подмена симки. Вот очередная история. Человеку в данном случае просто повезло. И заметьте, история не от жителя из СНГ, там то симку подменить вообще как два пальца. Поэтому в первую очередь озаботьтесь сменой номера телефона. Такие дела
_______
Source: https://t.iss.one/lemon_crypto/534
https://t.iss.one/lemon_crypto/560
да прибудет с вами диверсификация
да прибудет с вами диверсификация
Telegram
Crypto Lemon
#защита_инвестиций
"Ой ой, зачем нам думать своей головой?!? Разработчики софта и железа подумают за нас и наши денежки"
Ну вот и результат - влетел мужик (сначала написал "мудик", совпадение?) на 17 биткоинов установив фишинговое приложение с Appstore.…
"Ой ой, зачем нам думать своей головой?!? Разработчики софта и железа подумают за нас и наши денежки"
Ну вот и результат - влетел мужик (сначала написал "мудик", совпадение?) на 17 биткоинов установив фишинговое приложение с Appstore.…
#защита_инвестиций #Важно #юмор
Упустил как то отличную статью от Антонопулуса насчет того, принятие крипты Пейпалом это добро или зло
Подписываюсь под каждым его словом, в особенности под негативным отношением Paypal к криптовалютам. Помимо того, что глава этой конторы называл крипту "величайшим скамом" (ссылка в статье) была более существенная деталь: Paypal благоволил разводилам. В чем была суть? Пейпал не признавал крипту товаром или услугой, поэтому при попытке продать крипту через пейпал кому то, вы могли обнаружить что этот кто-то накатал жалобу мол он отправил деньги и ничего не получил. Пейпал возвращал ему деньги, а вы по итогу оставались и без крипты и без денег. Это был настолько распространенный развод, что во многих гайдах ему уделяли первые строчки.
Сейчас же Пейпал занял другую позицию (не можешь уничтожить - возглавь) но ясное дело сделал это в своей извращенной манере, по сути сделав у себя эдакое криптоказино. Вы можете купить крипту, но переслать вы ее на криптокошелек вне системы Пейпала не можете.
К тому же, Пейпал ввел так называемые "обучающие материалы". Вот что по этому поводу пишет Антонопулус:
"On one hand, the service will be entirely custodial, meaning users will not have the key to their own coins, while on the other they intend to “provide account holders with educational content to help them understand the cryptocurrency ecosystem”. The idea that anyone informed about bitcoin would agree to not holding their private keys might indicate that this educational content will overlook the fundamental rule of “Not your keys; not your coins”
Я тоже с этого порядком хохотнул, классическая ситуация "уловки 22".
Вообщем статью советую к прочтению. А также советую слать в пешее эротическое все кастодиальные сервисы.
_______
Источник: https://t.iss.one/lemon_crypto/565
Упустил как то отличную статью от Антонопулуса насчет того, принятие крипты Пейпалом это добро или зло
Подписываюсь под каждым его словом, в особенности под негативным отношением Paypal к криптовалютам. Помимо того, что глава этой конторы называл крипту "величайшим скамом" (ссылка в статье) была более существенная деталь: Paypal благоволил разводилам. В чем была суть? Пейпал не признавал крипту товаром или услугой, поэтому при попытке продать крипту через пейпал кому то, вы могли обнаружить что этот кто-то накатал жалобу мол он отправил деньги и ничего не получил. Пейпал возвращал ему деньги, а вы по итогу оставались и без крипты и без денег. Это был настолько распространенный развод, что во многих гайдах ему уделяли первые строчки.
Сейчас же Пейпал занял другую позицию (не можешь уничтожить - возглавь) но ясное дело сделал это в своей извращенной манере, по сути сделав у себя эдакое криптоказино. Вы можете купить крипту, но переслать вы ее на криптокошелек вне системы Пейпала не можете.
К тому же, Пейпал ввел так называемые "обучающие материалы". Вот что по этому поводу пишет Антонопулус:
"On one hand, the service will be entirely custodial, meaning users will not have the key to their own coins, while on the other they intend to “provide account holders with educational content to help them understand the cryptocurrency ecosystem”. The idea that anyone informed about bitcoin would agree to not holding their private keys might indicate that this educational content will overlook the fundamental rule of “Not your keys; not your coins”
Я тоже с этого порядком хохотнул, классическая ситуация "уловки 22".
Вообщем статью советую к прочтению. А также советую слать в пешее эротическое все кастодиальные сервисы.
_______
Источник: https://t.iss.one/lemon_crypto/565
Medium
Why you should not use Paypal for Bitcoin
Today, PayPal announced that they will be launching a cryptocurrency digital wallet for buying, selling and storing Bitcoin, Ethereum…
#защита_инвестиций #Важно #оффлайн_нападения
Иногда меня спрашивают, мол зачем так со всем этим запариваться? VPN, фингерпринты, приватность и так далее по списку. Ну слил Facebook твои личные данные там, или Ledger, чего то париться, а?
Подписчик с Украины как раз подогнал новость что в Запорожье, бандиты пытались ограбить майнера (который от них удачно отстрелялся). В свою очередь, я немного посерфил интернет и вот что подсобрал:
Полицейские в Николаеве избили майнера и требовали ключи к криптовалютным кошелькам
Полицейские похищали IT-предпринимателей ради получения выкупа
Полицейские в Киеве задержали двух братьев похитивших криптовалютчика
В Одессе криптовалютчика ограбили на 1,5 млн и едва не убили
(Оффтоп:
Я вообще заметил что Одесса довольно веселый город, здесь еще будут судить основателя криптовалютного инвестиционного фонда за организацию заказного убийства а недавно, предприниматель с охотничей винтовки уложил двух рэкетиров (одобряю). Это не учитывая что там часто пытаются взорвать кого то с помощью дронов.)
К этому еще добавим мои старые посты (которые НЕОБХОДИМО перечитать): 1. Пост от участника событий которого пытали чтобы забрать ключи,
2. Вымогатели украли владельца биржи Exmo и требовали выкуп.
У любого прочитавшего возникнут две мысли:
- Чего удивляться, это Украина
- Да вроде бы и немного случаев
Насчет количества случаев, могу вас "обрадовать": я серфил в течении десятка минут, и собрал только недавнее или очень известное. Общее количество случаев думаю на порядки (это больше чем в десятки раз если что) выше, так как некоторые новости появляются только в региональных изданиях (тоесть найти новости можно только целенаправленным поиском в Гугле), многие (!!!) люди не идут в полицию (по разным причинам, для объяснения которых понадобился бы отдельный пост)
По первому, я тоже не соглашусь. Украина это страна Запорожской Сечи, казаков, Махно и анархии, что создает в таких делах свой, местный колорит.
В противовес, в РФ силовикам не нужно избивать майнера. Они вполне могут (и практикуют) эдакий социальный договор: Ты отдаешь нам криптовалюту, а мы тебя не сажаем по статье финансирование терроризма. Или же экстремизм. Или еще какую то статью подвяжут, благо их хватает. В самом крайнем случае могут вломиться при обмене крупной суммы и просто забрать мешки с деньгами а потом убежать в Чечню (а что вы им сделаете, а? Будете стрелять в пришедших к вам Э-шников или росгвардейцев, понимая что с вами потом будет?). Или вломиться к вам и отобрать крипту в "Фонд ФСБ". И это не говоря о упочившем (Земля пухом) Павле Няшине (которого ограбил Дед Мороз. Которого кстати так и не нашли) и тех ребятах которые в Москве трейдеру лицо бритвой резали
Тоесть, если у наших младших братьев махновщина, когда пих пах, стрельба друг в друга, дроны с гранатами, то в РФ отжим уже "цивильный". Но еще интересный момент: Полно новостей о том, как бандиты грабят отставных кегебилов и чекистов (вот одного заставили банки с долларами руками на городе выкапывать). Причина этого проста - ухудшение уровня жизни простых людей и слишком явное неравенство. Но подумайте: Если люди настолько отчаялись что прыгают на заведомо "большие" цели (так как очевидно что у всех этих вертухаев в отставке есть серъезные подвязки где надо) то разве они откажутся от намного более легкой добычи, например какого нибудь майнера или внезапно разбогатевшего трейдера, а? Реальный случай
А также мой старый пост, где ссылки на все самые громкие нападения на криптовалютчиков ВНЕ СНГ:
https://t.iss.one/lemon_crypto/395
Так вот, вам надеюсь теперь понятно почему в СНГ стоит озаботиться о своей приватности?
_______
Источник | #lemon_crypto
Иногда меня спрашивают, мол зачем так со всем этим запариваться? VPN, фингерпринты, приватность и так далее по списку. Ну слил Facebook твои личные данные там, или Ledger, чего то париться, а?
Подписчик с Украины как раз подогнал новость что в Запорожье, бандиты пытались ограбить майнера (который от них удачно отстрелялся). В свою очередь, я немного посерфил интернет и вот что подсобрал:
Полицейские в Николаеве избили майнера и требовали ключи к криптовалютным кошелькам
Полицейские похищали IT-предпринимателей ради получения выкупа
Полицейские в Киеве задержали двух братьев похитивших криптовалютчика
В Одессе криптовалютчика ограбили на 1,5 млн и едва не убили
(Оффтоп:
Я вообще заметил что Одесса довольно веселый город, здесь еще будут судить основателя криптовалютного инвестиционного фонда за организацию заказного убийства а недавно, предприниматель с охотничей винтовки уложил двух рэкетиров (одобряю). Это не учитывая что там часто пытаются взорвать кого то с помощью дронов.)
К этому еще добавим мои старые посты (которые НЕОБХОДИМО перечитать): 1. Пост от участника событий которого пытали чтобы забрать ключи,
2. Вымогатели украли владельца биржи Exmo и требовали выкуп.
У любого прочитавшего возникнут две мысли:
- Чего удивляться, это Украина
- Да вроде бы и немного случаев
Насчет количества случаев, могу вас "обрадовать": я серфил в течении десятка минут, и собрал только недавнее или очень известное. Общее количество случаев думаю на порядки (это больше чем в десятки раз если что) выше, так как некоторые новости появляются только в региональных изданиях (тоесть найти новости можно только целенаправленным поиском в Гугле), многие (!!!) люди не идут в полицию (по разным причинам, для объяснения которых понадобился бы отдельный пост)
По первому, я тоже не соглашусь. Украина это страна Запорожской Сечи, казаков, Махно и анархии, что создает в таких делах свой, местный колорит.
В противовес, в РФ силовикам не нужно избивать майнера. Они вполне могут (и практикуют) эдакий социальный договор: Ты отдаешь нам криптовалюту, а мы тебя не сажаем по статье финансирование терроризма. Или же экстремизм. Или еще какую то статью подвяжут, благо их хватает. В самом крайнем случае могут вломиться при обмене крупной суммы и просто забрать мешки с деньгами а потом убежать в Чечню (а что вы им сделаете, а? Будете стрелять в пришедших к вам Э-шников или росгвардейцев, понимая что с вами потом будет?). Или вломиться к вам и отобрать крипту в "Фонд ФСБ". И это не говоря о упочившем (Земля пухом) Павле Няшине (которого ограбил Дед Мороз. Которого кстати так и не нашли) и тех ребятах которые в Москве трейдеру лицо бритвой резали
Тоесть, если у наших младших братьев махновщина, когда пих пах, стрельба друг в друга, дроны с гранатами, то в РФ отжим уже "цивильный". Но еще интересный момент: Полно новостей о том, как бандиты грабят отставных кегебилов и чекистов (вот одного заставили банки с долларами руками на городе выкапывать). Причина этого проста - ухудшение уровня жизни простых людей и слишком явное неравенство. Но подумайте: Если люди настолько отчаялись что прыгают на заведомо "большие" цели (так как очевидно что у всех этих вертухаев в отставке есть серъезные подвязки где надо) то разве они откажутся от намного более легкой добычи, например какого нибудь майнера или внезапно разбогатевшего трейдера, а? Реальный случай
А также мой старый пост, где ссылки на все самые громкие нападения на криптовалютчиков ВНЕ СНГ:
https://t.iss.one/lemon_crypto/395
Так вот, вам надеюсь теперь понятно почему в СНГ стоит озаботиться о своей приватности?
_______
Источник | #lemon_crypto
Перший Запорiзький
В Запорожской области пытались ограбить майнера, но мужчина открыл стрельбу
Попытка ограбления произошла в Орехове Пологовского района. Об этом сообщает пресс-служба ГУНП в Запорожской области. 8 апреля трое мужчин попытались ограбить майнера. Они хотели забрать у мужчины оборудование для майнинга биткоинов «Bitcoin Antminer S9»…
#защита_инвестиций #пароли #2fa
Прочитал вот статью о паролях, где пишут, что сильного пароля, даже менеджера паролей (с этим частично не согласен) уже недостаточно.
"The truth is, even if you keep good cyber hygiene, use strong passwords, and change them often enough, you are still vulnerable, especially your accounts that are not protected by at least the 2-factor authentication (2FA) method"
Вот в чем проблема такого подхода (в статье об этом тоже сказано, к слову): Двухфакторка добавляет условной стойкости, но также добавляет новые векторы атаки. Тот же SIM-swapping, или воровство мыла.
Нынешние, даже 128ми битные пароли, на данный момент принципиально невзламываемые (если мы говорим о разумных временных рамках и разумных растратах энергии)
И лично я считаю, что в нынешней хакерской культуре преобладает соц инженерия, а не тупой брутфорс. Поэтому ситуация когда через оператора у вас крадут сим карту и потом получают доступ к вашему аккаунту - более вероятна чем атака на сильный пароль. В чем опастность одних паролей? В том, что вы не знаете как их хранит принимающая сторона. Уже не один раз такое случалось, что хакеры взламывали БД неких известных сервисов, а там лежал .txt файл и сырые пароли даже без единичного хэширования))))
Но от идиотов-разработчиков вас как раз таки и защитит менеджкр паролей, если вы для каждого сайта будете генерировать новый уникальный пароль. Потеря одного не приведет к уязвимости вашей системы целиком.
Здесь, для 2FA уже или использовать некие токены (вплоть до биометрики, что меня правда пугает) или просто ей не пользоваться. Или организовывать и защиту номера телефона (в данном случае его неизвестность для третьих лиц - лучшая защита).
Личное мое (во избежание) предпочтение, это скорее 2SA (two-step-autentication), когда например нужно два пароля (так организовано кстати в blockchain.com, что есть плюс). Первый пароль для авторизации, а второй для совершения определенных действий. Первый пароль авторизации генерируется любым менеджером паролей, и для каждого сайта он уникален, а второй пароль (например для отправки битков) это один из 3-5 паролей (средний человек гарантированно будет помнить количество паролей в этом диапазоне)
А вообще, по этому поводу у меня уже был хороший пост. В оригинальной статье, кстати, Daniel Miessler добавил еще один пункт (8й). Как раз таки биометрика))
И ее основная уязвимость это конечно же extortion )))
Если тезисно, то 2fa через СМС или мыло это еще большая лажа чем only-password-autentication
_______
Источник | #lemon_crypto
Прочитал вот статью о паролях, где пишут, что сильного пароля, даже менеджера паролей (с этим частично не согласен) уже недостаточно.
"The truth is, even if you keep good cyber hygiene, use strong passwords, and change them often enough, you are still vulnerable, especially your accounts that are not protected by at least the 2-factor authentication (2FA) method"
Вот в чем проблема такого подхода (в статье об этом тоже сказано, к слову): Двухфакторка добавляет условной стойкости, но также добавляет новые векторы атаки. Тот же SIM-swapping, или воровство мыла.
Нынешние, даже 128ми битные пароли, на данный момент принципиально невзламываемые (если мы говорим о разумных временных рамках и разумных растратах энергии)
И лично я считаю, что в нынешней хакерской культуре преобладает соц инженерия, а не тупой брутфорс. Поэтому ситуация когда через оператора у вас крадут сим карту и потом получают доступ к вашему аккаунту - более вероятна чем атака на сильный пароль. В чем опастность одних паролей? В том, что вы не знаете как их хранит принимающая сторона. Уже не один раз такое случалось, что хакеры взламывали БД неких известных сервисов, а там лежал .txt файл и сырые пароли даже без единичного хэширования))))
Но от идиотов-разработчиков вас как раз таки и защитит менеджкр паролей, если вы для каждого сайта будете генерировать новый уникальный пароль. Потеря одного не приведет к уязвимости вашей системы целиком.
Здесь, для 2FA уже или использовать некие токены (вплоть до биометрики, что меня правда пугает) или просто ей не пользоваться. Или организовывать и защиту номера телефона (в данном случае его неизвестность для третьих лиц - лучшая защита).
Личное мое (во избежание) предпочтение, это скорее 2SA (two-step-autentication), когда например нужно два пароля (так организовано кстати в blockchain.com, что есть плюс). Первый пароль для авторизации, а второй для совершения определенных действий. Первый пароль авторизации генерируется любым менеджером паролей, и для каждого сайта он уникален, а второй пароль (например для отправки битков) это один из 3-5 паролей (средний человек гарантированно будет помнить количество паролей в этом диапазоне)
А вообще, по этому поводу у меня уже был хороший пост. В оригинальной статье, кстати, Daniel Miessler добавил еще один пункт (8й). Как раз таки биометрика))
И ее основная уязвимость это конечно же extortion )))
Если тезисно, то 2fa через СМС или мыло это еще большая лажа чем only-password-autentication
_______
Источник | #lemon_crypto
CyberNews
The password hassle: a strong one is no longer enough
A strong password is a must, though not enough to protect yourself or your employer from intrusion.