Апдейт: Судебное заседание, на котором представители Telegram Group Inc. и TON Issuer Inc. должны предоставить обоснование для отмены временного предписания, состоится 24 октября в 18:00 МСК в Нью-Йорке.

Telegram может оспорить судебный приказ до 18 октября.

#TON #SEC

Продолжение истории про взломанный обменник SmartWM.ru

https://news.1rj.ru/str/dataleak/1308

https://news.1rj.ru/str/dataleak/1309

​​Сегодня про атаку Vector 76 или "атака одного подтверждения"
⬇️⬇️⬇️
В 2011 году, пользователь Bitcointalk под ником vector76 описал этот тип двойного расходования.

Не особо много информации мне удалось нарыть, хотя может быть плохо искал, но вообще ловите.

Это комбинация атаки гонки (ниже) и атаки Финни, так что транзакция, которая даже имеет одно подтверждение, все еще может быть отменена.

Атака типа «гонки» (Race Attack). Атакующий осуществляет транзакцию A, оплачивая покупку. Одновременно он выполняет транзакцию B, переводящую эти же деньги на другой счет злоумышленника. Если магазин не дожидается денег и отгружает купленные товары, то идет на значительный риск: с вероятностью 50 % транзакция B может попасть в цепочку блоков без каких-либо усилий со стороны взломщика. Он может увеличить эту вероятность, выбирая узлы сети для передачи той или иной транзакции.

Успешная атака обходится злоумышленнику в один блок - им нужно "пожертвовать" блоком, не транслируя его, а вместо этого ретранслируя его только на атакуемый узел.

Чуток подробнее

Биткоин-биржа-это цифровой рынок. Нечестный клиент (А) удерживает предварительно добытый блок, который состоит из транзакции, которая реализует определенный депозит (т. е. депозитные монеты в обмене биткоинов). Злоумышленник (А) ожидает объявления следующего блока и быстро отправляет предварительно добытый блок вместе с недавно добытым блоком непосредственно на биржу или к своим ближайшим коллегам с надеждой, что биржа и, возможно, некоторые из соседних майнеров рассмотрят блокчейн, содержащий предварительно добытый блок в качестве основной цепи. Злоумышленник быстро отправляет другую транзакцию, которая запрашивает вывод из обмена тех же монет, которые были депонированы злоумышленником в его предыдущей транзакции. В этот момент, если другая вилка, которая не содержит транзакцию, которая используется злоумышленником для внесения монет, проскочит, депозит станет недействительным, но злоумышленник уже выполнил вывод, Таким образом, обмен теряет монеты.

Джихан Ву, не зря видимо сравнивал ситуацию в крипто индустрии со звездными войнами. В свете Libra и TON сейчас эпизод - Empire Strikes Back

🔥🔥🔥 18-миллионный Bitcoin будет добыт уже на этой неделе.

Майнерам останется 3 млн монет, на добычу которых уйдет около 120 лет.

Mapped: Cryptocurrency Regulations Around the World
https://www.visualcapitalist.com/mapped-cryptocurrency-regulations-around-the-world/

Икра Дурова

https://news.1rj.ru/str/F_S_C_P/43235

То что TON не имеет ценности, я писал еще до того как это стало мейнстримом. Тем не менее так как по нему уже проехались все конспирологи, и каждая из версий все чудесатее, вот вам подарочек и от меня.

Экономику спасали через QE. Но вменяемо реальное количество бабла необходимого для ее спасения никто конечно не знал, поэтому венчурное инвестирование стало некоторым стравливающим клапаном контролируемого сжигания бабок. Money burn rate, думаете случайно придумали?

Со временем стало понятно, что во всем мире не хватает идей и стартапов готовых контролируемо мыть и сжигать бабки. Вернее их было полно, но главное же слово «контролируемо». QE попытались прекратить. Пропылесосили долларовую массу, но в некоторых местах ее было сложно ковырнуть из карманов. Тут подключилась тема ICO и крауд инвестирование.

Так вот ваш TON такой же проектик двойного назначения. Может и накодить чего, но лучше конечно сжечь. Думаете Паша такая независимая фигура? Ню-ню.

Вот и правильно люди пишут, что SEC тут не случайно. Но маркетинга ли ради? Разбирательство вполне себе может быть инициировано теми же людьми, что организовали кидание в Пашу деньгами. Или вы думаете в документах эти форс мажоры случайно прописали?

Главное же при плохой игре сохранить лицо? Его же еще в будущем придется использовать.

Примерно так же как сейчас упомянутое QE началось снова. Только официально текущие действия ФРС это конечно же никто так не называет.

деньги не пахнут
https://news.1rj.ru/str/Age_of_Crypt/2062
какая им разница деривативами чего торговать?

Дуров маркетолог от бога, это надо держать в уме.
https://news.1rj.ru/str/Orwell_Reality/472
Может он сам в SEC настучал чтобы отодвинуть сроки?
Или чтобы пиара поболе было?
Тут не угадаешь...

AES-128 или AES-256? Минутка истории и математики.

Многие из вас, скорее всего, замечали, что различный софт, использующий шифрование, как правило, использует самый распространенный и общепринятый симметричный алгоритм блочного шифрования AES с ключами в 128- и 256-бит. Наш VPN-сервис Connecto VPN использует AES с 128-битным ключом, в то время, как некоторые другие VPN-провайдеры предлагают шифрование аналогичным алгоритмом, но с 256-битным ключом. Давайте разберёмся, почему так и зачем.

AES изначально предлагает три стандартных варианта длины ключа шифрования (128, 192 и 256 бит). Многие люди, опираясь на это, убеждены, что чем больше ключ — тем безопаснее (особенно учитывая тот факт, что AES-256 примерно на 40% медленнее чем AES-128). На самом деле, для того, чтобы понять, почему у AES есть 3 варианта длины ключа, стоит обратиться к истории.

Алгоритм шифрования AES был выбран в качестве государственного, федерального алгоритма США для защиты данных правительством Соединенных Штатов, в т.ч., данных армии, ФБР и АНБ. Армия и спецслужбы США имеют довольно большую и долгую историю использования различных методов шифрования (еще до появление AES) и так сложилось исторически, что внутренние требования их ведомств предписывают иметь три уровня защиты (такие предписания появились еще до появления AES, да и вообще, компьютеров в целом).

Исходя из этих требований законодательных и иных регуляторов, NIST (Национальный Институт Стандартов и Технологий США) решили формально последовать требованиям бюрократов и сделали три варианта длины ключа шифрования, при этом, самый первый уровень, AES-128, всё равно не может быть взломан с использованием современных технологий. Просто предложить 256-битные ключи было проще, чем изменять нормативы.

Что касается нашего выбора — мы выбрали AES-128. Давайте представим, что нам удалось использовать всю доступную в атмосфере земли энергию солнца в размере 174000 TW (тераватт) и мы запитали с их помощью огромное количество NVIDIA GTX 1080, производительность которых близка к 52000 MFLOPS/W. Взяв 1000 FLOPS за стоимость одной итерации перебора ключа к AES-128 по радужной таблице (это еще я очень оптимистично смотрю на вещи) при энергоэффективности равной 10^3, мы переберем 2^128 комбинаций вариантов ключей чуть менее чем за:
(2^128/((52∗10^3∗174∗10^15)/1000))/60/60/24/365 = 1.19*10^6 = 1.2 миллиона лет

1200000 лет перебора значений при использовании актуальных сегодня технологий. Пиздец, да?

Ну и даже если предположить, что я обосрался с вычислениями (а по-любому обосрался где-то), и допустить, что я ошибся на один знак после запятой — наша планета до этого момента времени уже десять раз станет необитаемой, уже не говоря о том, что и сами вы сдохнете.

При этом, по сравнению с 256-битным ключом, выбранный нами 128-битный ключ предлагает гораздо большее быстродействие (примерно на 40% быстрее), при этом он так же предоставляет достаточный уровень защиты данных, который нельзя взломать с помощью современных средств.

Поэтому, мораль такая: хоть AES-256 сильнее, это вовсе не означает, что AES-128 не достаточно безопасен. Большинство компаний, заявляющих, что они используют AES-256 вместо AES-128, делают это исключительно из маркетинговых целей, предполагая, что пользователь не будет разбираться в вопросе детально. Практического смысла в использование 256-битного ключа до появления квантовых компьютеров нет. И после появления. Потому что один хер взломают.

Конечный адрес транзакции на 115.857 BTC о которой я писал вчера, по предложению Tokenanalysis , может быть новым холодным кошельком bitstamp, и возможно связана с запуском Bitgo кастодиального хранилища для крупных клиентов.

BitGo, лидер в области финансовых услуг для цифровых активов, обеспечит надежное хранение криптографических активов под управлением компании Bitstamp.

Перевод активов в кошельки BitGo начнется 10 октября 2019 года. Это не повлияет на наших клиентов, и вам не нужно предпринимать никаких действий.

​​✅✅✅
Где еще применить блокчейн?

В автомобильной сфере блокчейн можно применять в нескольких направлениях: финансовые услуги и системы лояльности с криптовалютами, контроль поставок запчастей, материалов, рекламаций, автомобилей, решения в сфере мобильности и каршеринга, технологии интернета вещей и передача данных между предметами.

Блокчейн и автомобили
⬇️⬇️⬇️
Porsche совместно с стартапом XIAN провело тестирование блокчейн приложений, интегрированных в автомобили.

Тестируемые компанией приложения включают: блокировку и разблокировку дверей автомобиля с помощью приложения, временные авторизации доступа, а также зашифрованную регистрацию информации.

Процесс разблокировки и блокировки автомобиля занимает всего 1.6 секунд, что в шесть раз быстрее чем раньше. Кроме того, применяется криптографическое шифрование. Любые действия с машиной регистрируются в блокчейне таким образом, что запись о них нельзя изменить, но можно просмотреть с помощью приложения. Владелец автомобиля может в любой момент выдать или отозвать доступ к машине третьих лиц, а также следить за действиями подобных авторизованных пользователей с помощью безопасной цифровой технологии.
☘️☘️☘️
Honda Motor, Renault, BMW, General Motors и Ford Motor начнут полевые испытания в США для системы идентификации транспортных средств, основанной на блокчейне, которая позволит водителям автоматически оплачивать парковочные сборы или дорожные сборы без использования наличных денег или карт.

Система назначает цифровые идентификаторы отдельным автомобилям, связанным с такой информацией, как история владения и обслуживания. Эти данные, охватывающие срок службы транспортного средства, будут использоваться для распознавания автомобилей на дороге, что позволяет владельцу автоматически оплачивать сборы без необходимости использования специальных меток, требуемых в современных электронных системах сбора платы за проезд.
🌵🌵🌵
С 2017 года Toyota Research Institute совместно с MIT Media Lab работает над применением блокчейна для обмена данными между беспилотными автомобилями. По мнению Toyota, блокчейн также позволит надежно хранить в распределенном реестре информацию об эксплуатации транспортных средств.
🌴🌴🌴
Транснациональный автомобильный концерн Daimler AG в запустил пилотный блокчейн-проект mobiCOIN. Компания решила поощрять водителей за "зеленый" стиль вождения.

Все данные с автомобиля фиксируются с помощью блокчейна и поступают на специальное приложение-регистратор, которое также является криптокошельком. Если водитель, к примеру, соблюдает скоростной режим, а также плавно стартует и тормозит, ему начисляются монетки — mobiCOINS. Их можно обменять на VIP-билеты на всевозможные мероприятия, например, автогонки DTM, финал MercedesCup или неделю моды в Берлине.
☘️☘️☘️
Компания Ernst & Young в августе 2017 года запустила блокчейн-систему Tesseract, которая уже обеспечивает цифровой учет автомобилей и поездок, а также упрощает совместное использование авто. Блокчейн-система в разы ускорила автоматическое выполнение транзакций между владельцами транспортных средств, операторами и сторонними поставщиками услуг.

Как шифропанки изменили интернет и защищают свободу сети

В последние годы в мире принимается всё больше законов, призванных контролировать интернет. Этот процесс обычно мотивируется обеспечением государственной и персональной безопасности, борьбой с пиратством, терроризмом и детской порнографией. Иногда явным, пусть и непроговариваемым мотивом является цензура, а иногда нашу интернет-свободу начинают ограничивать, ссылаясь на защиту наших личных данных. Власти сегодня записывают разговоры, читают личную переписку, глушат связь на митингах оппозиции и закрывают доступ к неугодной информации, а корпорации отслеживают наши передвижения и прослушивают голосовые сообщения пользователей. Неудивительно, что в последнее время самые широкие слои населения в России и мире выучили, что такое VPN и прокси-сервер и стали интересоваться, что государства и технологические компании делают с информацией, которую мы им предоставляем.

В серии постов #шифропанк речь пойдёт о движении шифропанков — людей, проповедующих использование криптографии для защиты приватности и личных свобод. Мы расскажем историю этого движения с 1970-х годов до наших дней — о том, как шифропанки изменили интернет, как свободолюбивые технари ещё в 80-е годы придумали электронные деньги, блокчейн и защищенное онлайн-голосование, каким образом американские власти потерпели поражение в криптовойнах, и почему сегодня идеи шифропанков становятся все более актуальными.

А вот и настоящая, смешная китайская история: приложение Xuexi Qiangguo, которое практически официально выпущено коммунистической партией Китая и содержит только правительственные новости, видео и мудрые мысли Си Цзиньпина, оказется еще и активно шпионило за пользователями. Как минимум на андроиде.

И это просто какой-то восторг, приложение для пропаганды еще и собирало данные о звонках и сообщениях, историю посещенных сайтов, фотографии и отправляло все это на адрес "кому следует". Больше того, по внешнему сигналу приложение могло активировать аудиозапись, а потом отправить ее туда же.

Почитайте подробности сами, но тут надо признаться - никакой Оруэл не мог придумать такой великолепной истории. И не обращайте внимания на то что источник тут WP - ровно то же самое пишут и другие китайские источники сейчас https://www.washingtonpost.com/world/asia_pacific/chinese-app-on-xis-ideology-allows-data-access-to-100-million-users-phones-report-says/2019/10/11/2d53bbae-eb4d-11e9-bafb-da248f8d5734_story.html

https://www.grin-forum.org/t/grin-wallet-experimental-tor-integration/6233

грин меняет фокус на поддержку tor как основной платежный метод вместо http

преимущества:
- не нужно использовать микс сети http, чтобы скрыть адреса
- end-to-end шифрование по дефолту, сложнее отслеживать трансферы
- btc-подобные адреса
недостатки:
- не все платформы поддерживают tor (например, ios)
- доступ к tor может быть заблокирован на уровне компании или государства
- не решена проблема оффлайн транзакций (нужна доп. разработка)
- tor должен быть установлен с обеих сторон, что будет решено через пакеты в будущих релизах

Сколько Telegram уже потратил из собранных 1.7 миллиардов?

Из иска SEC к TON стало известно, что к 31 января 2019 года Telegram уже потратил $218 млн. из $1.7 млрд.
Эту информацию предоставил сам Telegram в процессе оформления документов для SEC.

В фотогалерее выше вы можете увидеть расчетный график затрат Telegram по годам (из документа для первичных инвесторов). Как видите, поддержка бесплатного мессенджера – это совсем не дешевое удовольствие.

Второе фото в галерее является фрагментом все из того же документа. На нем указывается, что затраты на разработку TON и Telegram нераздельны. Соотнося планируемый график затрат с уже потраченными средствами, складывается впечатление, что львиная доля из них была потрачена на поддержку и развитие Telegram, а не на разработку TON.
Из этого можно сделать вывод, что после сбора средств Павел Дуров, видимо, перестал финансировать Telegram из собственных средств и стал обеспечивать его из инвесторских денег.
Если экстраполировать скорость расходования инвесторских денег на конец 2019 года, то потраченная сумма уже должна превысить 300 миллионов долларов. Именно 300 миллионов долларов, по различным оценкам, Павел Дуров получил, продав свою долю ВКонтакте и покинув Россию.

Из этого следует, что при всем желании Дуров уже не сможет 31 октября вернуть инвесторам полную сумму, если TON не будет запущен в этот срок. Напомним, что это условие договора с инвесторами.

Итого, мы получаем следующие вводные:
1. Если 31 октября TON не будет запущен, то Дурову придется вернуть инвесторам все собранные средства – но судя по имеющимся финансовым выкладкам, сделать это в полной мере он не сможет. Только если не привлечет альтернативных инвесторов, которые будут готовы дополнительно профинансировать проект.

2. В договоре с инвесторами есть лазейка: если случится форс-мажор или ограничительные меры от правительственных органов, то дату запуска можно отсрочить на неопределенный срок.

3. Запуск TON без согласия SEC нанесет очень серьезный удар по перспективам развития этого блокчейна и положению самого Telegram (возможность блокировки мессенджера в магазинах приложений), поскольку SEC в своем документе не разделяет Telegram и TON как 2 отдельные сущности. Кроме того, если провести запуск без согласия SEC, помириться с ними в дальнейшем точно уже не получится.

4. Выбор опции затягивания срока запуска блокчейна однозначно вызовет негодование инвесторов. Срок запуска итак изрядно затянут, так что это наверняка повлечет за собой судебные иски от части инвесторов и требования вернуть деньги, включая дополнительные компенсации – что нанесет серьезный финансовый и репутационный удар по Telegram.

На самом деле, сложившаяся ситуация намного серьезнее и опаснее для Telegram, чем многим кажется. Под угрозой сам факт дальнейшей бесперебойной поддержки мессенджера.

🔥 ETH, заблокированный в DeFi , достиг рекордного уровня в 3'000'000 ETH или 552'000'000 USD).

Эфир, безусловно, является доминирующей криптовалютой, используемой в приложениях DeFi. Для сравнения, в настоящее время биткойн имеет всего 1400 BTC, заблокированных в DeFi благодаря Lightning Network, на сумму 11'600'000 USD в текущих ценах.

DeFi все еще находится в зачаточном состоянии, но постоянно расширяющийся набор финансовых инструментов становится доступным благодаря растущему множеству платформ в сети Ethereum, которые предоставляют такие услуги, как мгновенные транзакции и расчеты, безналичное кредитование и заимствование цифровых активов, а также залоговые механизмы . Все эти услуги не требуют посредников или центральной власти, что делает их дешевле и надежнее.

На рисунке отображены лучшие три приложения Ethereum по общему значению заблокированых ETH.

PS: Если состояние зачаточное, то ожидаем хороший рост количества заблокированного эфира, и его дефицит в обращении даст повод для роста 👍

#полезные_сервисы

Был на отдыхе, поэтому довольно долго не писал. Буду исправляться, а сейчас поговорим об одной неимоверно полезной программе.

KeePassXC

Это менеджер паролей который позволяет хранить все пароли, а также генерировать сильные пароли одинаково сильные для взлома машиной и человеком (помним по прошлым постам, что сложный пароль для компа это не всегда сложно для взлома словарем и наоборот?) и много чего полезного еще (например оставлять заметки напротив использованных паролей)

Почему важно иметь менеджер паролей?
- Чтобы знать где какой пароль используешь
- Чтобы генерировать криптографически сильные пароли
- Чтобы не запутаться с хранением кучи паролей.

Программа имеет открытый исходный код, для генерации паролей использует OpenSSL несколько форков и долгую историю, что предполагает ее надежность.

Самый главный момент, это как всегда установка. В идеале чистый комп (мы что, богачи?) ну или хотя бы комп на Линуксе (мы что, очкастые задроты?) ну ладно, хотя бы комп где у вас стоит песочница (благодаря моим прошлым постам) и порнуху смотреть вы лазите через нее . Надеюсь на последний пункт у вас выполнен, в основном все вирусы именно там :0

Так вот, переходим на офф сайт https://keepassxc.org и качаем под вашу операционку установочный файл. Ой, стоп, мы же забыли главное (по крайней мере в случае если вы собираетесь устанавливать программу где будете хранить все пароли) - проверка подписи файлов.

У вас к этому моменту по хорошему должно быть gpg (в посте за 7е сентября, ищите по ключевым словам) и проверка подписи у вас не должна занять много времени. Переходим сюда:
https://keepassxc.org/verifying-signatures/

Прокручиваем в самый низ, там будут публичные ключи для импорта, импортируем а потом сверяем подпись файла. И только тогда устанавливаем.
Иначе, повторяем с пункта -1: Установка PGP/GPG

После проверки идет обычная установка, да и в интернете можно найти гайды использования. Важный только один момент: при запуске для хранилища ключей у вас попросит создать сильный пароль. Ребята, сильный пароль это 80+ бит энтропии. А если на людском, то 18+ символов, верхние/нижние регистры, цифры, знаки и главное о чем не упоминают: нельзя подряд писать один и тот же символ. Например пароль "1488Lol" по энтропии не будет отличаться от "148Lol". Тоесть не писать подряд один символ больше двух раз, и конечно не использовать никаких "крылатых фраз".

Сразу после этого вам будут доступны все плюсы менеджера паролей.