Blockchain & Crypto Currencies
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Pametni ugovori definišu se kao programi koji se izvršavaju na blockchain-u kada su ispunjeni određeni uslovi, automatizujući izvršenje sporazuma bez posrednika.
Decentralizovane aplikacije (dApps) se oslanjaju na pametne ugovore, imajući korisnički prijatan front-end i transparentan, auditable back-end.
Tokeni i kovanice se razlikuju, pri čemu kovanice služe kao digitalni novac, dok tokeni predstavljaju vrednost ili vlasništvo u specifičnim kontekstima.
Utility tokeni omogućavaju pristup uslugama, a Security tokeni označavaju vlasništvo nad imovinom.
DeFi označava decentralizovane finansije, nudeći finansijske usluge bez centralnih vlasti.
DEX i DAO se odnose na decentralizovane berzanske platforme i decentralizovane autonomne organizacije, redom.
Mehanizmi konsenzusa osiguravaju sigurnu i dogovorenu validaciju transakcija na blockchain-u:
Proof of Work (PoW) se oslanja na računarsku snagu za verifikaciju transakcija.
Proof of Stake (PoS) zahteva od validatora da drže određenu količinu tokena, smanjujući potrošnju energije u poređenju sa PoW.
Bitcoin transakcije uključuju prebacivanje sredstava između adresa. Transakcije se validiraju putem digitalnih potpisa, osiguravajući da samo vlasnik privatnog ključa može inicirati transfere.
Ključne Komponente:
Multisignature transakcije zahtevaju više potpisa za autorizaciju transakcije.
Transakcije se sastoje od ulaza (izvor sredstava), izlaza (odredište), naknada (plaćene rudarima) i skripti (pravila transakcije).
Cilj je poboljšati skalabilnost Bitcoina omogućavajući više transakcija unutar jednog kanala, samo emitovanjem konačnog stanja na blockchain.
Napadi na privatnost, kao što su Common Input Ownership i UTXO Change Address Detection, koriste obrasce transakcija. Strategije poput Mixers i CoinJoin poboljšavaju anonimnost zamagljujući veze transakcija između korisnika.
Metode uključuju trgovinu gotovinom, rudarenje i korišćenje miksera. CoinJoin meša više transakcija kako bi otežao praćenje, dok PayJoin prikriva CoinJoins kao obične transakcije radi povećane privatnosti.
U svetu Bitcoina, privatnost transakcija i anonimnost korisnika često su predmet zabrinutosti. Evo pojednostavljenog pregleda nekoliko uobičajenih metoda putem kojih napadači mogu kompromitovati privatnost Bitcoina.
Generalno je retko da se ulazi različitih korisnika kombinuju u jednoj transakciji zbog složenosti koja je uključena. Tako se dve ulazne adrese u istoj transakciji često pretpostavljaju da pripadaju istom vlasniku.
UTXO, ili Unspent Transaction Output, mora biti potpuno potrošen u transakciji. Ako se samo deo pošalje na drugu adresu, ostatak ide na novu adresu promene. Posmatrači mogu pretpostaviti da ova nova adresa pripada pošiljaocu, kompromitujući privatnost.
Da bi se to ublažilo, usluge mešanja ili korišćenje više adresa mogu pomoći u zamagljivanju vlasništva.
Korisnici ponekad dele svoje Bitcoin adrese na mreži, što olakšava povezivanje adrese sa njenim vlasnikom.
Transakcije se mogu vizualizovati kao grafovi, otkrivajući potencijalne veze između korisnika na osnovu toka sredstava.
Ova heuristika se zasniva na analizi transakcija sa više ulaza i izlaza kako bi se pogodilo koji izlaz je promena koja se vraća pošiljaocu.
If adding more inputs makes the change output larger than any single input, it can confuse the heuristic.
Napadači mogu slati male iznose na prethodno korišćene adrese, nadajući se da će primalac kombinovati ove sa drugim ulazima u budućim transakcijama, čime se povezuju adrese.
Novčanici bi trebali izbegavati korišćenje kovanica primljenih na već korišćenim, praznim adresama kako bi sprečili ovaj gubitak privatnosti.
Exact Payment Amounts: Transakcije bez promena su verovatno između dve adrese koje poseduje isti korisnik.
Round Numbers: Okružni broj u transakciji sugeriše da je to uplata, pri čemu je neokružni izlaz verovatno promena.
Wallet Fingerprinting: Različiti novčanici imaju jedinstvene obrasce kreiranja transakcija, što omogućava analitičarima da identifikuju korišćen softver i potencijalno adresu promene.
Amount & Timing Correlations: Otkriće vremena ili iznosa transakcija može učiniti transakcije tragovima.
Prateći mrežni saobraćaj, napadači mogu potencijalno povezati transakcije ili blokove sa IP adresama, ugrožavajući privatnost korisnika. Ovo je posebno tačno ako entitet upravlja mnogim Bitcoin čvorovima, što poboljšava njihovu sposobnost praćenja transakcija.
For a comprehensive list of privacy attacks and defenses, visit Bitcoin Privacy on Bitcoin Wiki.
Cash Transactions: Sticanje bitcoina putem gotovine.
Cash Alternatives: Kupovina poklon kartica i njihova razmena online za bitcoine.
Mining: Najprivatnija metoda za zarađivanje bitcoina je putem rudarenja, posebno kada se radi samostalno jer rudarske grupe mogu znati IP adresu rudara. Mining Pools Information
Theft: Teoretski, krađa bitcoina bi mogla biti još jedna metoda za sticanje anonimno, iako je to ilegalno i nije preporučljivo.
Korišćenjem usluge mešanja, korisnik može slati bitcoine i primati različite bitcoine u zamenu, što otežava praćenje originalnog vlasnika. Ipak, ovo zahteva poverenje u uslugu da ne čuva evidenciju i da zaista vrati bitcoine. Alternativne opcije mešanja uključuju Bitcoin kockarnice.
CoinJoin spaja više transakcija od različitih korisnika u jednu, komplikujući proces za svakoga ko pokušava da uskladi ulaze sa izlazima. I pored svoje efikasnosti, transakcije sa jedinstvenim ulaznim i izlaznim veličinama i dalje se potencijalno mogu pratiti.
Primeri transakcija koje su možda koristile CoinJoin uključuju 402d3e1df685d1fdf82f36b220079c1bf44db227df2d676625ebcbee3f6cb22a i 85378815f6ee170aa8c26694ee2df42b99cff7fa9357f073c1192fff1f540238.
For more information, visit CoinJoin. For a similar service on Ethereum, check out Tornado Cash, which anonymizes transactions with funds from miners.
Varijanta CoinJoin, PayJoin (ili P2EP), prikriva transakciju između dve strane (npr. kupca i trgovca) kao redovnu transakciju, bez karakterističnih jednakih izlaza koji su specifični za CoinJoin. Ovo čini izuzetno teškim otkrivanje i moglo bi da poništi heuristiku zajedničkog vlasništva ulaza koju koriste entiteti za nadzor transakcija.
Transakcije poput gornjih mogle bi biti PayJoin, poboljšavajući privatnost dok ostaju neprepoznatljive od standardnih bitcoin transakcija.
Korišćenje PayJoin moglo bi značajno poremetiti tradicionalne metode nadzora, čineći to obećavajućim razvojem u potrazi za transakcionom privatnošću.
Da bi se održala privatnost i sigurnost, sinhronizacija novčanika sa blockchain-om je ključna. Dve metode se ističu:
Puni čvor: Preuzimanjem celog blockchain-a, puni čvor osigurava maksimalnu privatnost. Sve transakcije ikada izvršene se čuvaju lokalno, što onemogućava protivnicima da identifikuju koje transakcije ili adrese korisnik zanima.
Filtriranje blokova na klijentskoj strani: Ova metoda uključuje kreiranje filtera za svaki blok u blockchain-u, omogućavajući novčanicima da identifikuju relevantne transakcije bez izlaganja specifičnih interesa posmatračima mreže. Laki novčanici preuzimaju ove filtere, preuzimajući pune blokove samo kada se pronađe podudaranje sa adresama korisnika.
S obzirom na to da Bitcoin funkcioniše na peer-to-peer mreži, preporučuje se korišćenje Tora za maskiranje vaše IP adrese, poboljšavajući privatnost prilikom interakcije sa mrežom.
Da bi se zaštitila privatnost, važno je koristiti novu adresu za svaku transakciju. Ponovna upotreba adresa može kompromitovati privatnost povezivanjem transakcija sa istim entitetom. Moderni novčanici obeshrabruju ponovnu upotrebu adresa kroz svoj dizajn.
Više transakcija: Deljenje uplate na nekoliko transakcija može zamagliti iznos transakcije, ometajući napade na privatnost.
Izbegavanje promena: Odabir transakcija koje ne zahtevaju promene poboljšava privatnost ometajući metode detekcije promena.
Više izlaza za promene: Ako izbegavanje promena nije izvodljivo, generisanje više izlaza za promene može i dalje poboljšati privatnost.
Monero odgovara na potrebu za apsolutnom anonimnošću u digitalnim transakcijama, postavljajući visoke standarde za privatnost.
Gas meri računski napor potreban za izvršavanje operacija na Ethereum-u, a cena je u gwei. Na primer, transakcija koja košta 2,310,000 gwei (ili 0.00231 ETH) uključuje gas limit i osnovnu naknadu, uz napojnicu za podsticanje rudara. Korisnici mogu postaviti maksimalnu naknadu kako bi osigurali da ne preplate, a višak se vraća.
Transakcije u Ethereum-u uključuju pošiljaoca i primaoca, koji mogu biti adrese korisnika ili pametnih ugovora. One zahtevaju naknadu i moraju biti rudarene. Osnovne informacije u transakciji uključuju primaoca, potpis pošiljaoca, vrednost, opcione podatke, gas limit i naknade. Značajno je da se adresa pošiljaoca deducira iz potpisa, čime se eliminiše potreba za njom u podacima transakcije.
Ove prakse i mehanizmi su osnovni za svakoga ko želi da se bavi kriptovalutama dok prioritet daje privatnosti i sigurnosti.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
