После того как журнал Time опубликовал данную статью:
https://time.com/Tornado.Cash
Господа из правоохранительных органов заинтересовались работой - Tornado.Cash
Статью?
О хакерах из Северной Кореи, которые немного навредили Axie и их сети Ronin,
Случайно изьяв оттуда эфира на 600 миллионов USD!
И попросили любыми способами нечто сделать.
Как вы понимаете - контракты версии V 2.0 неизменны, поэтому изменить можно только UI.
В связи с этим на сайте добавили ограничения, чтобы плохие ребята не использовали протокол прямо на официальном лендинге.
@Tornado_cash_RU
https://time.com/Tornado.Cash
Господа из правоохранительных органов заинтересовались работой - Tornado.Cash
Статью?
О хакерах из Северной Кореи, которые немного навредили Axie и их сети Ronin,
Случайно изьяв оттуда эфира на 600 миллионов USD!
И попросили любыми способами нечто сделать.
Как вы понимаете - контракты версии V 2.0 неизменны, поэтому изменить можно только UI.
В связи с этим на сайте добавили ограничения, чтобы плохие ребята не использовали протокол прямо на официальном лендинге.
@Tornado_cash_RU
🔥30
Где блокируют:
В UI, в веб-интерфейсе во время "Connect Wallet" вызывается метод у контракта:
При совпадении, браузер перекидывается на процитированный пост в твиттере.
@Tornado_cash_RU
В UI, в веб-интерфейсе во время "Connect Wallet" вызывается метод у контракта:
0x40C57923924B5c5c5455c48D93317139ADDaC8fb
Используя сервера сервиса InfuraПри совпадении, браузер перекидывается на процитированный пост в твиттере.
@Tornado_cash_RU
🔥12🤯8
Предположим также, что в команде делают ставку на листинги на регулируемых биржах,
Где обязательно встаёт вопрос compliance, на что можно будет ответить, что "мы соблюдаем регуляцию".
Дополнительно:
Личная безопасность и не сильное желание у разработчиков - иметь какие либо вопросы от правоохранителей.
- С одной стороны плохо, так как это противоречит замыслу (упоминается об этом в разделе Restrictions),
- С другой стороны это = малая кровь.
Де-факто, это проблема, которая на практике не помешает пользоваться продуктом,
Но позволит сохранять репутацию протокола конфиденциальности, который в большинстве своем используют обычные люди:
- Мы сделали все что могли
Абсолютно всем очевидно, что на практике это может быть по-другому,
Но важно что формально она соотносится с требованиями спецслужб.
Еще раз подчеркиваем:
Все контракты Tornado.Cash = НЕИЗМЕННЫ.
Пользуйтесь payload'ами - в самом крайнем случае.
Остановить их можно только в том случае, если встанет вся сеть BUTHEREUM.
@Tornado_cash_RU
Где обязательно встаёт вопрос compliance, на что можно будет ответить, что "мы соблюдаем регуляцию".
Дополнительно:
Личная безопасность и не сильное желание у разработчиков - иметь какие либо вопросы от правоохранителей.
- С одной стороны плохо, так как это противоречит замыслу (упоминается об этом в разделе Restrictions),
- С другой стороны это = малая кровь.
Де-факто, это проблема, которая на практике не помешает пользоваться продуктом,
Но позволит сохранять репутацию протокола конфиденциальности, который в большинстве своем используют обычные люди:
- Мы сделали все что могли
Абсолютно всем очевидно, что на практике это может быть по-другому,
Но важно что формально она соотносится с требованиями спецслужб.
Еще раз подчеркиваем:
Все контракты Tornado.Cash = НЕИЗМЕННЫ.
Пользуйтесь payload'ами - в самом крайнем случае.
Остановить их можно только в том случае, если встанет вся сеть BUTHEREUM.
@Tornado_cash_RU
🔥29
Наше DAO преодолело отметку в 5.000 активных пользователей.
Каждый из которых получает ответы на все имеющиеся вопросы как в чате, так и в постах группы.
Есть вопросы относительно протокола или общих принципов работы?
- Добро пожаловать в чат.
@Tornado_cash_RU
Каждый из которых получает ответы на все имеющиеся вопросы как в чате, так и в постах группы.
Есть вопросы относительно протокола или общих принципов работы?
- Добро пожаловать в чат.
@Tornado_cash_RU
🔥57
Cамые осознанные подписчики стали интересоваться насчет темы кошельков, API & RPC.
Подготовили ответ на вопрос одного из участников чата @Tornado_cash_RU
Вопрос звучит так:
- Каким образом формируется API и привязка к пользователю?
Если скинуть ledger до заводских настроек, остаются ли “слепки”?
@Tornado_cash_RU
Подготовили ответ на вопрос одного из участников чата @Tornado_cash_RU
Вопрос звучит так:
- Каким образом формируется API и привязка к пользователю?
Если скинуть ledger до заводских настроек, остаются ли “слепки”?
@Tornado_cash_RU
🔥44🤯2
API-ключи в метамаске сейчас не формируются. Ключ одинаковый для всех пользователей.
До сентября 2020 метамаск использовал публичные сервера infura без ключей.
После, infura перестала принимать соединения к публичным серверам, если клиент не представляется зарегистрированным API-ключом.
Поэтому метамаск компилируется со статичным зашитым в него ключом для всех пользователей.
Маловероятно, что сборка и попадающая в магазины версия отличается от публичного репозитория.
Идентификация кошельков и пользователей более вероятно происходит по сопоставлению IP и запрашиваемого с этого IP у infura адреса кошелька, его баланса, т.к. нет гарантий, что infura эти запросы не логгирует/не перепродаёт эти сведения поставщикам аналитики.
Кроме того, метамаск, будучи браузерным плагином, осуществляет запросы по HTTP и сопровождает это HTTP Header-ами на каждый запрос, что представляет собой незначительный, но в целом отпечаток.
Также метамаск регулярно отправляет в сервис Sentry (предназначенный для сбора крэшлогов js-приложений) сообщения, даже не связанные с крэшлогами, но содержащие постоянный session_id в рамках текущего запуска, browser agent, присылая их с текущего IP - само по себе это не компрометирующая информация, если только Sentry не в сговоре и не собирает IP тех, кто отправляет эти сообщения (в оригинальной версии Sentry обычно дропает сведения об IP, оставляя только крэшлог).
@Tornado_cash_RU
До сентября 2020 метамаск использовал публичные сервера infura без ключей.
После, infura перестала принимать соединения к публичным серверам, если клиент не представляется зарегистрированным API-ключом.
Поэтому метамаск компилируется со статичным зашитым в него ключом для всех пользователей.
Маловероятно, что сборка и попадающая в магазины версия отличается от публичного репозитория.
Идентификация кошельков и пользователей более вероятно происходит по сопоставлению IP и запрашиваемого с этого IP у infura адреса кошелька, его баланса, т.к. нет гарантий, что infura эти запросы не логгирует/не перепродаёт эти сведения поставщикам аналитики.
Кроме того, метамаск, будучи браузерным плагином, осуществляет запросы по HTTP и сопровождает это HTTP Header-ами на каждый запрос, что представляет собой незначительный, но в целом отпечаток.
Также метамаск регулярно отправляет в сервис Sentry (предназначенный для сбора крэшлогов js-приложений) сообщения, даже не связанные с крэшлогами, но содержащие постоянный session_id в рамках текущего запуска, browser agent, присылая их с текущего IP - само по себе это не компрометирующая информация, если только Sentry не в сговоре и не собирает IP тех, кто отправляет эти сообщения (в оригинальной версии Sentry обычно дропает сведения об IP, оставляя только крэшлог).
@Tornado_cash_RU
🔥20🤯8
А Ledger как устройство само по себе ничего не отправляет, оно только взаимодействует с софтом, и если что-либо осуществляет отправку, то это будет сам кошельковый софт.
Т.е. в этом случае стоит вопрос доверия Ledger Live vs другие софтовые кошельки, поддерживающие работу с Ledger.
Поэтому "скинуть леджер и отдать" безопасно до тех пор, пока:
1) в протоколе нет выгрузки серийного номера/hardware id;
2) сам кошельковый софт не отправит эту информацию с IP.
Если же Ledger позволяет получать серийный номер устройства, который не меняется при сбросе, и если допустить, что Ledger Live в своей собранной версии может выполнять такую отправку, значит сброс и смена владельца оставит след между разными адресами/владельцами.
Отправляет ли он серийный номер, можно исследовать в репозиториях Ledger Live, т.к. ими заверяется, что эти компоненты открыты и что код собирается из них.
В любом случае, Ledger Live точно осуществляет запрос, дающий их сервису сопоставить текущий IP и адрес.
При смене владельца и сбросе, IP и адрес будут другими.
@Tornado_cash_RU
Т.е. в этом случае стоит вопрос доверия Ledger Live vs другие софтовые кошельки, поддерживающие работу с Ledger.
Поэтому "скинуть леджер и отдать" безопасно до тех пор, пока:
1) в протоколе нет выгрузки серийного номера/hardware id;
2) сам кошельковый софт не отправит эту информацию с IP.
Если же Ledger позволяет получать серийный номер устройства, который не меняется при сбросе, и если допустить, что Ledger Live в своей собранной версии может выполнять такую отправку, значит сброс и смена владельца оставит след между разными адресами/владельцами.
Отправляет ли он серийный номер, можно исследовать в репозиториях Ledger Live, т.к. ими заверяется, что эти компоненты открыты и что код собирается из них.
В любом случае, Ledger Live точно осуществляет запрос, дающий их сервису сопоставить текущий IP и адрес.
При смене владельца и сбросе, IP и адрес будут другими.
@Tornado_cash_RU
🔥39
Market Vision
API-ключи в метамаске сейчас не формируются. Ключ одинаковый для всех пользователей. До сентября 2020 метамаск использовал публичные сервера infura без ключей. После, infura перестала принимать соединения к публичным серверам, если клиент не представляется…
Новый вид “взлома” Metamask для iOS-устройств.
Если каким-либо образом потерять доступ к iCloud, будь то результат фишинга или социальной инженерии,
То можно распрощаться со своими криптоактивами.
При включенном резервном копировании iCloud для данных приложения (app data), Metamask отправляет в хранилище зашифрованный пароль от вашего кошелька. Это относится и к другим кошелькам.
- Если расшифровать пароль, то можно получить доступ к кошельку.
Что нужно сделать, чтобы себя обезопасить?
Отключить резервное копирование для Metamask.
Настройки -> Профиль -> iCloud -> Управление хранилищем -> Резервные копии.
А также обязательно читаем здесь. И никогда никому не сообщайте свой Note от депозита Tornado cash, чтобы не случился аналогичный случай.
@Tornado_cash_RU
Если каким-либо образом потерять доступ к iCloud, будь то результат фишинга или социальной инженерии,
То можно распрощаться со своими криптоактивами.
При включенном резервном копировании iCloud для данных приложения (app data), Metamask отправляет в хранилище зашифрованный пароль от вашего кошелька. Это относится и к другим кошелькам.
- Если расшифровать пароль, то можно получить доступ к кошельку.
Что нужно сделать, чтобы себя обезопасить?
Отключить резервное копирование для Metamask.
Настройки -> Профиль -> iCloud -> Управление хранилищем -> Резервные копии.
А также обязательно читаем здесь. И никогда никому не сообщайте свой Note от депозита Tornado cash, чтобы не случился аналогичный случай.
@Tornado_cash_RU
🔥38🤯10
TORN = 47 USD
+18% роста.
А также количество заблокированных токенов близится к 600.000 тысячам.
Что означает крайне высокий интерес и полный выкуп всех просадок со стороны участников нашего DAO.
@Tornado_cash_RU
+18% роста.
А также количество заблокированных токенов близится к 600.000 тысячам.
Что означает крайне высокий интерес и полный выкуп всех просадок со стороны участников нашего DAO.
@Tornado_cash_RU
🔥45
Co-founder протокола Tornado cash создает расширение для браузеров, которое нацелено на уменьшение цены за газ в сети ETH.
Идея состоит в том, чтобы ловить временные промежутки времени, когда газ более дешевый, например, на 30%.
Это будет удобно для тех, кто хочет с минимальными затратами застейкать свой TORN.
Расширение поможет оценить, сколько времени займет TX по установленной вами цене за газ.
Ознакомиться можно здесь.
@Tornado_cash_RU
Идея состоит в том, чтобы ловить временные промежутки времени, когда газ более дешевый, например, на 30%.
Это будет удобно для тех, кто хочет с минимальными затратами застейкать свой TORN.
Расширение поможет оценить, сколько времени займет TX по установленной вами цене за газ.
Ознакомиться можно здесь.
@Tornado_cash_RU
🔥66🤯5
Количество заблокированных жетонов в governance-контракте Tornado cash пробило отметку 600.000.
~ 400.000 токенов было внесено в смарт-контракт всего лишь за 2 месяца.
Повышенный интерес пользователей к протоколу вызван очень качественным развитием проекта с помощью DAO.
DAO, где каждый может порекомендовать, а при всеобщем согласии других участников - поспособствовать внесению в Tornado cash изменений, которые будут положительно отражаться на работе протокола.
Одно из ключевых мест, что освещает путь для всех тех, кто принял решение стать свободным - это наша с вами группа @Tornado_cash_RU.
В ней уже были отдельные посты, дающие исчерпывающие ответы на вопросы подписчиков.
Посты, которые заслуживают быть занесенными в будущие учебники по DeFi.
В нашем чате очень приветствуются развернутые вопросы по теме Tornado cash & DeFi.
Чат?
Вступить можно здесь.
@Tornado_cash_RU
~ 400.000 токенов было внесено в смарт-контракт всего лишь за 2 месяца.
Повышенный интерес пользователей к протоколу вызван очень качественным развитием проекта с помощью DAO.
DAO, где каждый может порекомендовать, а при всеобщем согласии других участников - поспособствовать внесению в Tornado cash изменений, которые будут положительно отражаться на работе протокола.
Одно из ключевых мест, что освещает путь для всех тех, кто принял решение стать свободным - это наша с вами группа @Tornado_cash_RU.
В ней уже были отдельные посты, дающие исчерпывающие ответы на вопросы подписчиков.
Посты, которые заслуживают быть занесенными в будущие учебники по DeFi.
В нашем чате очень приветствуются развернутые вопросы по теме Tornado cash & DeFi.
Чат?
Вступить можно здесь.
@Tornado_cash_RU
🔥42
TORN = 50 USD
Продолжаем наблюдать планомерное накопление актива, о чем свидетельствует статистика заблокированных токенов в governance контракте.
И ожидаем голосование которое осуществит все то, о чем мы писали.
@Tornado_cash_RU
Продолжаем наблюдать планомерное накопление актива, о чем свидетельствует статистика заблокированных токенов в governance контракте.
И ожидаем голосование которое осуществит все то, о чем мы писали.
@Tornado_cash_RU
🔥33
За прошедшие месяцы было опубликовано несколько постов, где мы предупреждали вас, например: здесь и здесь.
Биржа Binance ввела ограничение на сумму, которой могут владеть пользователи из РФ.
Подробнее здесь.
Биржа FTX ввела полный запрет на все операции с рублями и Российскими банками, а также строжайший KYC & AML.
Ознакомиться можно здесь.
Насчет AML вы также были предупреждены здесь.
Некоторые участники нашего DAO начали задаваться вопросом:
Где и как добирать TORN?
1inch.io - это DEX-агрегатор, который предоставляет лучшую цену на интересующий вас актив, а также полностью поддерживает Tornado Cash у себя в приложении.
Подобные санкции против RU_CRYPTO - только начало, подробнее читайте здесь и здесь.
Если брать в расчет то, что большинство, о чем мы предупреждали - сбылось, то следующим шагом будет метка RU_DEX кошельков.
И, чтобы избежать подобных практик на собственном опыте, настоятельно советуем использовать мануал по назначению и вспомнить данный пост.
@Tornado_cash_RU
Биржа Binance ввела ограничение на сумму, которой могут владеть пользователи из РФ.
Подробнее здесь.
Биржа FTX ввела полный запрет на все операции с рублями и Российскими банками, а также строжайший KYC & AML.
Ознакомиться можно здесь.
Насчет AML вы также были предупреждены здесь.
Некоторые участники нашего DAO начали задаваться вопросом:
Где и как добирать TORN?
1inch.io - это DEX-агрегатор, который предоставляет лучшую цену на интересующий вас актив, а также полностью поддерживает Tornado Cash у себя в приложении.
Подобные санкции против RU_CRYPTO - только начало, подробнее читайте здесь и здесь.
Если брать в расчет то, что большинство, о чем мы предупреждали - сбылось, то следующим шагом будет метка RU_DEX кошельков.
И, чтобы избежать подобных практик на собственном опыте, настоятельно советуем использовать мануал по назначению и вспомнить данный пост.
@Tornado_cash_RU
🔥49🤯4