Авторская Не стоит терять бдительность

Тема в разделе "Статьи", создана пользователем MoneroRus, 5 дек 2017.

  1. MoneroRus

    Команда форума Модератор Редактор

    Регистрация:
    30 ноя 2017
    Сообщения:
    190
    Симпатии:
    39
    Описание проблемы

    Monero предоставляет надежный уровень защиты ваших транзакции, отправитель, получатель и сумма платежа не доступны для просмотра из блокчейна кому угодно. В Bitcoin рекомендуется на каждую транзакцию заводить отдельный адрес, чтобы достичь хоть какого-то уровня конфиденциальности, на что пользователи Monero говорят презренное “фи”. В сообществе считается безопасным публиковать свой основной адрес кошелька (95 символьный). Проблема отслеживания потоков платежей решена через payment id и интегрированные адреса. Нет необходимости заводить несколько адресов (в случае Monero один адрес - один кошелек) всем удобно и все довольны. Но если посмотреть на майнинг, и в частности на пулы, то там есть некая особенность.

    Пулы Monero не заставляют пользователей регистрироваться и не собирают никакой персональной информации о пользователе, что в духе Monero. Различают пользователей (майнеров) по адресу кошелька, на который происходит майнинг, что тоже логично. Чтобы дать возможность майнеру смотреть статистику, пул авторизует майнера по адресу его кошелька. И тут кроется основная проблема. Зная адрес кошелька, любой может посмотреть статистику, а главное сумму выплат пула на этот адрес. Таким образом если я могу персонализировать пользователя (майнера) по его кошельку, то я могу получить некоторую информацию о балансе его кошелька. И мне не надо знать на каком пуле он майнит, можно просто просканировать все программно через api, среди пулов в основном используется только две разновидности ПО. Учитывая чувство защищенности пользователей Monero при публикации адресов кошелька, можно достаточно часто персонализировать адрес кошелька человека или сервиса, например через публикацию адресов для пожертвований или примеров по настройке ПО для майнинга.

    Если вы сейчас подумали, что, выходом будет майнить на интегрированный адрес или публиковать интегрированный адрес, то спешу вас предостеречь, это не поможет. Из интегрированного (106 символов) адреса любой может получить ваш стандартный адрес (95 символов). Убедиться в этом можете на данном сайте.

    Выводы

    Майнеры находятся в зоне риска. Они наименее защищены чем другие пользователи экосистемы Monero. Поэтому, если вы майните, не публикуйте адреса кошельков, на которые осуществляется выплата, заведите для этого отдельный кошелек или создайте интегрированный адрес(который ни в коем случае не публикуйте нигде) и майните на него, с его помощью можно будет смотреть статистику, а стандартный адрес спокойно публиковать. (Убедитесь, что пул поддерживает майнинг на интегрированный адрес)

    Утечку данных со стороны пулов, необходимо решать на их стороне. Например - авторизацию для просмотра статистики осуществлять с паролем, как это сделано для изменения уровня выплат. В этом механизме есть свои изъяны - если пароль устанавливается и меняется со стороны ПО для майнинга, то теоретически, я могу запустить "свой" майниг и сменить пароль доступа к кошельку, статистику которого хочу посмотреть. Но это уже совсем другая история.

    Автор:
    MoneroRus (@MoneroRus)
    Редактирование:
    Mr. Pickles (@v1docq47)
     
    #1 MoneroRus, 5 дек 2017
    Последнее редактирование: 6 дек 2017
    Mr. Pickles и Mr.Snowman нравится это.
  2. АВТОР
    АТ
    MoneroRus

    Команда форума Модератор Редактор

    Регистрация:
    30 ноя 2017
    Сообщения:
    190
    Симпатии:
    39
    Набросал скрипт на руби https://pastebin.com/PAY6k4ZM (доступен будет пару недель)
    Результат для кошельков которые попались мне за три дня в чатах, на сайтах и мануалах. Нулевые значения убрал и пулы настроил только глобальные. Paid это то что ушло на кошелек, due это то что накоплено на пуле, но еще не выплачено. Второй кошелек похоже из примера по настройке майнера :)

    "469CZiPjr6r4CbaMYTUFqrA8zoBHdGr2PWHR7qBsTpF6FogKqGPFKQGRUEGmuPTME2N5V3ngRGYmc5bWxVACNTT7RGb5pRM"
    SUPPORTXMR.COM:
    Paid:0.0 XMR, Due:0.008665827522

    "48edfHu7V9Z84YzzMa6fUueoELZ9ZRXq9VetWzYGzKt52XU5xvqgzYnDK9URnRoJMk1j8nLwEVsaSWJ4fhdUyZijBGUicoD"
    XMRPOOL.NET:
    Paid:0.0 XMR, Due:0.000057939700
    SUPPORTXMR.COM:
    Paid:0.0 XMR, Due:0.000364707741
    MONERO.HASHVAULT.PRO:
    Paid:0.0 XMR, Due:0.029167217781
    MORIAXMR.COM:
    Paid:0.0 XMR, Due:0.000003537814

    "4581HhZkQHgZrZjKeCfCJxZff9E3xCgHGF25zABZz7oR71TnbbgiS7sK9jveE6Dx6uMs2LwszDuvQJgRZQotdpHt1fTdDhk"
    XMRPOOL.NET:
    Paid:0.0 XMR, Due:0.000018943130
    SUPPORTXMR.COM:
    Paid:0.293249696217 XMR, Due:0.247414830046
    VIAXMR.COM:
    Paid:0.0 XMR, Due:0.000001787576

    "43NoJVEXo21hGZ6tDG6Z3g4qimiGdJPE6GRxAmiWwm26gwr62Lqo7zRiCJFSBmbkwTGNuuES9ES5TgaVHceuYc4Y75txCTU"
    XMRPOOL.NET:
    Paid:0.0 XMR, Due:0.000034047925
    SUPPORTXMR.COM:
    Paid:0.0 XMR, Due:0.003115610428
     
    #2 MoneroRus, 7 дек 2017
    Последнее редактирование: 11 дек 2017
  3. Mr.Snowman

    Mr.Snowman Piconero

    Регистрация:
    12 сен 2017
    Сообщения:
    7
    Симпатии:
    2
    Отличная статья! Наверняка многие не задумывались об этом.
     
  4. АВТОР
    АТ
    MoneroRus

    Команда форума Модератор Редактор

    Регистрация:
    30 ноя 2017
    Сообщения:
    190
    Симпатии:
    39
    Добавлю ещё что нередко(30% из мною исследованных) пулы для запросов api используют протокол http. Http протокол открытый и доступен для просмотра каждому участнику сети учавствующему в передаче пакета от майнера к пулу. Таким образом даже если пул работает на https и для просмотра статистики используется пароль, но запрос к api идет по http, то данные о выплатах доступны как минимум провайдеру (читай государству). Вспомним "закон Яровой" и все станет немножко грустно для майнера, которого регуляторы захотят "защитить".
     
  5. АВТОР
    АТ
    MoneroRus

    Команда форума Модератор Редактор

    Регистрация:
    30 ноя 2017
    Сообщения:
    190
    Симпатии:
    39
    сделал такой сервис
    Вбиваешь адрес получаешь данные с пулов.
    Я использую его больше как инструмент анализа, например посмотреть сколько на адрес ботнета натекло.
    Исходники тут
    Можно отправлять ссылку на результат по кошельку (правда по сути при открытии будет повторное сканирование)
     
    AJIekceu4 и LeD XIII нравится это.
  6. LocalMonero

    LocalMonero Monerano

    Регистрация:
    13 сен 2017
    Сообщения:
    11
    Симпатии:
    6
    Скоро субадреса выйдут, можно будет их использовать.
     
  7. АВТОР
    АТ
    MoneroRus

    Команда форума Модератор Редактор

    Регистрация:
    30 ноя 2017
    Сообщения:
    190
    Симпатии:
    39
    Ага. Но суть остается. Не надо нигде светить адрес на который майнишь.
     
  • О нас

    Наш сайт является одним из уникальных мест, где русскоязычное сообщество Monero может свободно общаться на темы, связанные с этой криптовалютой. Мы стараемся публиковать полезные мануалы и статьи (как собственные, так и переводы с английского) о криптовалюте Monero. Если вы хорошо владеете английским (или можете писать собственные статьи/мануалы) и хотите помочь в переводах и общем развитии Monero для русскоязычной аудитории - свяжитесь с одним из администраторов.