>>232563

>Кошелек сиги виноват, ага. Кошелек сиги полная копипаста лайткоина.

Это у них проблемы с биржевым кошельком, мой кошелёк работает,
вывожу с супрновой на него, всё быстро приходит и быстро подтверждаются транзы.

>Если он having issues то и остальные 98% говнин их having

Не, почти все другие крипты работают норм у них, просто идёшь на
https://www.cryptopia.co.nz/CoinInfo
смотришь там количество connections, и если больше нуля, значит крипта работает нормально.
Дальше, идёшь на block explorer криптовалюты, смотришь последний блок,
и сравниваешь его со значением Block Height на криптопии - по сути это номер последнего блока.
Если ни равны, или примерно равны, значит синхронизация идёт.
А вот например у PhoenixCoin - не идёт.
http://explorer.phoenixcoin.org/chain/Phoenixcoin
Block 1490868
а на криптопии - Connections: 0, Block Height: 1482979 Maintenance
Транзы, которые подтверждены сетью после 1482979-го блока - не отображаются на балансе,
поэтому майнить PhoenixCoin на биржевой адрес депозита криптопии - не имеет смысла сейчас.

>>232567

>В чем проблема восстановить руками самые бохатые кошельки их там явно не больше сотни,

>остальным тупо начислить их копейки по шаблону из базы, спонсор - док.

ИМХО, проблема в том, что надо список адресов и балансов на них,
ну чтобы целенаправленно делать импорт приватного ключа от этого конкретного адреса,
потому что по приватному ключу баланс не проверишь, и проще его импортировать, а их много там.
Лично я не могу просмотреть на криптопии свой адрес для депозита, потому что у них заставка про маинтенансе там.
Но я могу зайти на пул и скопировать этот адрес оттуда. Не каждый так может, и не каждый сохранил эти адреса,
а если эмейлами слать по одному - они там вообще сдуреть могут от напора писек в почту. Проще дождаться импортов этих ихних.

>Откроется ввод, говнина наконец ебнется до 400 сатоши, и начнет жить в режиме лайв.

А внатуре, если бы хотели ёбнуть курс и закупиться - открыли бы ввод.

>>233442
Короче, есть валлет, и на валлете - API.
Через API можно снять любую сумму, потому что api обаращается непосредственно к валлету,
а внутри которого есть прив, подписывающий транзы.
У API есть учётные данные, и они могут быть украдены или хакнуты. Этого достаточно, чтоб делать платежи.
А ещё, ты говоришь, что как-то через прокси, по API может прийти любой запрос с другого сервера Васяна из Мухосранска
и это API не сможет не принять его, если конечно там нет шифрования, или если это шифрование - взломано при взломе учётной записи.
(т. е. если сами учетные данные позволяют расшифровать траффик).
Майнеры, которые майнят на пуле, вставляют в блок один единственный адрес - это адрес ноды,
куда и скапливается реварды и где растёт баланс. Оттуда же и выплаты идут по PPS или PPLNS через эти API.

Вот что я понял из твоей писанины.
Непонятно было слово "инвонкает" (ссылается) и какие-то таблетки ещё приплёл, не в тему.

Короче, что тут можно сделать, чтоб такой хуйни не было?
Очевидный SSL с RSA - на API, и впендюрить лимиты на транзы по каждому конкретному адресу.
Если пул платит автоматически, с выходом каждого нового блока,
(а yiimp - так и делает, но после определённого количества подтверждений найденного на пуле блока),
то это всё можно завязать на консольную команду getblockcount в валлете qt - на ноде,
которая по-сути выдаёт последний блок синхронизированного там блокчейна.
Таким образом, одна выплата на один адрес может быть не больше награды за блок,
при условии, что майнер нашёл 100% шар и является единственным майнером,
майнящим какую-либо крипту и таки нашедшим блок на пуле.
Иначе, награда за один блок должна делиться по количеству шар всех майнеров.
Количество этих шар - зависит от сложности майнинга и множителя пула, уменьшающего эту сложность.
Сложность майнинга каждого конкретного блока всегда можно получить командой gettifficulty.
Всё это можно написать на ноде, где валлет, и поставить до API.

Ну и конечно же, остатки в виде комиссий этих всяких - должны сливаться на paperwallet или адрес,
priv которого вообще не подключён к API.
Т. е. для выплат по API должен использоваться PRIV с балансом,
содержащим не более чем несколько наград за те найденные блоки, которые ещё не подтверждены сетью.

>>233444
А то у них по многим криптам пиздинг монет, как я гляжу идёт.
>>233445
Заблочить несколько депозитов не значит заблочить все депозиты.
Депозиты никто на криптопии не блочил, у них проблемы с синхронизацией и 0 connections, блядь.
Поэтому и транзы на старые адреса не доходят на баланс.

>>233466
Нет, ты блядь точно наркоман.

>Короче, есть валлет, и на валлете - API.

ДА!

>Через API можно снять любую сумму

ДА!

>, потому что api обаращается непосредственно к валлету

Нет. API - это часть самого воллета. Через это АПИ к нему можно обращаться.

>У API есть учётные данные, и они могут быть украдены или хакнуты. Этого достаточно, чтоб делать платежи.

Да.

>А ещё, ты говоришь, что как-то через прокси, по API может прийти любой запрос с другого сервера Васяна из Мухосранска

Нет.
Когда хацкер поломал, напирмер, фронтэнд пула, ему нужно как-то попасть на API, которое обычно голой жопой не торчит в Интернет, и доступно только с машины, на которой крутится тот софт пула, который производит выплаты майнерам. Вот обычно там и нужно сделать сорт оф прокси, чтобы попасть на API ноды.

>Майнеры, которые майнят на пуле, вставляют в блок один единственный адрес - это адрес ноды

Нет. Майнеры ставят адрес стратум-сервера, который занимается раздачей заданий воркерам, управляет сложностью шар и подсчитывает количество принятых шар от воркеров. Этот сервер вовсе не обязан быть той самой нодой, на которой воллет пула.

>Непонятно было слово "инвонкает"

Вызывает, выполняет.

>Очевидный SSL с RSA - на API

Это не поможет, да и оно возможно даже было. Есть машина/софт, который штатно занимается выплатами майнерам, то есть ИМЕЕТ ДОСТУП в это API. Когда эту машину/софт похачили, доступ к API появился у злоумышленника.

>yiimp - так и делает

Нет. yiimp не платит на каждом блоке.
На каждом блоке он начисляет в твой внутренний аккаунт в immature-ballance говно-сатоши. А так же переносит из immature в confirmed те говно-сатоши, которые были начисленны 20 блоков назад. Выплаты же происходят тогда, когда пулу будет удобно, при этом в транзакцию уходит все, что у тебя в confirmed.

>Таким образом, одна выплата на один адрес может быть не больше награды за блок

Может быть и больше. В связи с тем, что описано выше.

>Т. е. для выплат по API должен использоваться PRIV с балансом, содержащим не более чем несколько наград за те найденные блоки, которые ещё не подтверждены сетью.

Так именно это всё и спиздили, лол. То, что уже накопано, но еще не выплачено майнерам.

>>233538
Так, так, так... Что тут у нас?...

>Нет. API - это часть самого воллета. Через это АПИ к нему можно обращаться.

Разве API - не отдельная надстройка?
Вот если запускаю обычный qt с параметром -server и конфигом RPC,
чтобы тупо майнить ccminer'ом в solo-режиме на своих видяхах через RPC-сервер на localhost'е,
значит ли это, что если я просто прокину порт через маршрутизатор во вне в Интернет,
для какого-нибудь другого solo-майнера, удалённой фермы, или GRID'a, который приложит хешрейт туда,
то у меня тупо могут через это API увести всё - запхнув на этот сервер какие-то команды неведомого кода?
Ведь если API встроено в валлет, и не является подключаемым модулем, это вполне возможно, охуеть.

>Когда хацкер поломал, напирмер, фронтэнд пула, ему нужно как-то попасть на API,

>которое обычно голой жопой не торчит в Интернет, и доступно только с машины,

>на которой крутится тот софт пула, который производит выплаты майнерам.

>Вот обычно там и нужно сделать сорт оф прокси, чтобы попасть на API ноды.

Вообще-то yiimp - пул опенсорсовый, вроде,
ибо есть тот же lpool.name, zpool.ca, hashbag.cc,
выглядящие так же, и я полагаю начинка у них та же самая,
значит кулхацкеру, достаточно сбрутить пароли на видяхах, чтоб пробраться на эти всякие API,
и это наверное проще чем крутить мегахеши хероты заради пуловых шар и сатош очередной говнинки.

>Нет. Майнеры ставят адрес стратум-сервера, который занимается раздачей заданий воркерам,

>управляет сложностью шар и подсчитывает количество принятых шар от воркеров.

>Этот сервер вовсе не обязан быть той самой нодой, на которой воллет пула.

Но ведь награды за каждый конкретный найденный пулом блок
(номер которого кстати отображается как на пуле так и в блок-эксплорере)
приходят на вполне определённый и конкретный адрес пула,
и этот адрес можно просмотреть в блок-эксплорере найдя блок по номеру,
также как можно просмотреть там и транзакции с этого адреса - на адрес каждого конкретного майнера.
Этот адрес и вставляют майнеры задолго до того, как находят шары,
потому что структура блока включает в себя определённый адрес майнера получающего награду
и хеш транзакции генерации монет на этот адрес,
и от этих данных - зависит и nonce.
Сложность же снижается за счёт сужения диапазонов поиска nonce при параллельном её вычислении майнерами.
Т. е. все майнеры на пуле - майнят на один и тот же адрес пула. И если этот адрес есть в валлете на ноде - я всё правильно написал. Это адрес ноды.

>Есть машина/софт, который штатно занимается выплатами майнерам, то есть ИМЕЕТ ДОСТУП в это API.

Если конечно API есть часть кошелька, тогда да.

>Выплаты же происходят тогда, когда пулу будет удобно, при этом в транзакцию уходит все, что у тебя в confirmed.

У той же suprnova.cc - инстантом выплаты идут, если поставить лимит на вывод, и заказать выплату в ручную, сразу моментально видно приход в синхронизируемом qt.
А дальше - уже подтверждения насчитываются там. Из этого я и исходил.
Ведь порой, на yiimp появляются блоки, помеченные как Orphan, т. е. блоки отвергнутые сетью,
потому что кто-то из майнеров нашёл этот блок раньше, и он более диверсифицирован в децентрализированной сети,
и с него уже намайнены другие блоки.
У того же PhoenixCoin'a при solo mining'e надо 100 блоков ждать чтобы расходовать в qt награду за блок.
Поэтому, я подумал, что в yiimp таки-инстант, но не сразу, а после этих immature блоков.

>Может быть и больше. В связи с тем, что описано выше.

Значит она должна быть не больше, чем количество наград, умноженное на количество блоков для immature - минус комиссия.
Если предположить, что один майнер может в одиночку на пуле намайнить все эти блоки.
И да, даже если API встроено в qt - все эти проверки можно повесить на ноде с валлетом, до API.
Т. е. пул -> нода -> проверка -> (система API->wallet)

>Может быть и больше. В связи с тем, что описано выше.

Ну, 70к сиг, даже по 2500 SIGT за блок - это блядь 28 блоков, 56 блоков по 1250 sigt/блок и более 100 блоков при 650 SIGT за блок.
Дохуя, однако скопилось.

>Так именно это всё и спиздили, лол. То, что уже накопано, но еще не выплачено майнерам.

Ааа, всё понятно - Coin Maturity, 60 Confirmations.
https://bitcointalk.org/index.php?topic=2030529.0
Тогда, могли бы и больше увести, раз блядь аж 60 блоков надо было ждать подтверждения награды, хэххэхх...

>>233565

>АПИ - это интерфейс.

Та я понял уже, что ты имеешь в виду консольные команды, но я смотрел на API как на скриптовую надстройку на самом сайте.
Мол это и есть API раз оттуда идут запросы на валлет. Ведь эти функции - уже встраивается в сайт, а не сами консольные команды валлета.

>АПИ имеет вполне конкретный список того, какие команды можно через него вызывать.

Ну вот, получив их на вход RPC-сервера где нода - их можно обрабатывать дополнительно различными программами и скриптами,
причём до того как они они будут ретранслированы дальше на wallet.
Т. е. можно было бы, программно например - запретить некоторые команды.

>Нет, там юзаются уязвимости сервисов.

В общем, ясно.

>юиимп вроде как через IRC взломали.

IRC - это вообще чат.

>А, ты про адрес в самом блокченне

Не совсем - я про адрес получателя награды, который содержит прив в валлете на ноде.
Это адрес соло майнера блоков, который находит пул, его видно в блокчейнах, да.

>Майнерам вообще не нужен доступ к ноде, только стратум-сервер, который пришлет блок на обсчет.

Да, но адрес получателя монет майнерам в случае нахождения блока на пуле - сообщает нода.

>Нет. Сложность шар на стратум-сервере работает ровно так же, как и сложность хэша блока на блокчейне.

>Подбиваемый нонс должен давать, допустим, 20 нулей в блокчейне, чтобы подтвердить блок.

>А стратум-сервер от воркеров принимает шары с 15 нулями например.

Тогда бы хешрейт майнеров не суммировался, а скорее представлял бы нормальное распределение хейшрейтов майнеров,
ведь стратум-сервер не делил бы диапазон поиска nonce на задания при подаче сигнала о обновлении сложности на пуле.

>В любом случае, при любом раскладе, есть элемент системы, у которого должен быть доступ к генерированию транзакций с кошелька пула.

Очевидная софтина на сайте пула, подключённая к ноде по RPC.

>Кто это должен считать? Правильно, софт пула. Но так уж получилось, что именно его хачат.

Нет, это может считать и софт ноды.

>все эти проверки можно повесить на ноде с валлетом, до API.

Команды API, с софтины пула - посылаются на IP ноды на прозрачный RPC proxy,
дальше софт ноды проверяет всё это и если всё ок - ретранслирует команды API уже валлету в реал RPC но c locahost'a.

>Нода и валлет это одна и та же субстанция, наркоман.

Нет, блядь, нода - это IP:port которая отдаёт блокчейн, я могу её и в Бразилию прокинуть через VPN,
а валлет с API (консольные команды эти) - это программа, тот же qt на компе с открытыми портами и RPC-сервером в конфиге.

>>233564

>Еще несколько пулов на этом же движке закрылись за последние 24 часа.

Интересно, какие.

>Так что это явно общая уязвимость этого говнодвижка.

Ну вот, ясно.

>Кошели сиги и любой другой кошель не при чем, хакнули двигло пула и послали запрос на выплаты.

Да, кошели монет не причём, но увели сразу несколько - там вон скрин повыше есть: >>233444

>Кошели сиги и любой другой кошель не при чем

А вот что касается самих монет - тут прикол в том, что если RPC-сервер проброшен во вне,
то я так понял, через логин-пароль, который в конфиге RPC у монет прописан -
могут увести всё, тупо юзая встроенный API (консольные команды).
И для этого - не обязательно знать приватные ключи, они просто есть уже на валлете, куда и шлются запросы
вида sendtoaddress, signrawtransaction, sendrawtransaction и прочие, прочие, прочие...
Интересно, блядь, а вот по p2p могут так увести монеты? Лол.

>>233591

>Ну вот, получив их на вход RPC-сервера где нода - их можно обрабатывать дополнительно различными программами и скриптами,

>причём до того как они они будут ретранслированы дальше на wallet.

Зачем?
Чтобы проверять валидность транзакций в двух местах? Почему бы тогда не поставить еще олдин rpc зкщчу и проверять в трех? Почему не пять раз это делать?

>Т. е. можно было бы, программно например - запретить некоторые команды.

Например какие? Команда, которая отправляет коины должна работать (потому что так отправляются реварды майнерам), а больше ничего и не нужно.

>IRC - это вообще чат.

Блядь, да. Это что-то меняет, кроме того, что ты читать не умеешь? Пикрил видел вместо сайта? Читал его?

>сообщает нода

Стратум, мазафака, дую ноу ит?

>Тогда бы хешрейт майнеров не суммировался, а скорее представлял бы нормальное распределение хейшрейтов майнеров,

ведь стратум-сервер не делил бы диапазон поиска nonce на задания при подаче сигнала о обновлении сложности на пуле.
Нет, ты блядь точно наркоман.
Воркеры на пулах не перебирают nonce с начала и до конца возможных значений, а стратум не разбивает этот интервал между воркерами. Всегда выбирается рандомное значение и с него стартует перебор. Подтверждением того, что ты действительно перебираешь нонсы является то, что ты сабмитишь шары, nonce которых существенно проще подобрат, потому что у них слабее ограничение на хэш блока (это как если бы ты копал альтернативный блокчейн у которого сложность в миллион раз меньше настоящего, но только один и тот же блок, и каждый найденный блок - это и есть шара).
Пиздец, ты вообще хоть пытался разобраться как это все работает, перед тем как выдвигать свои охуительные теории?
Сложность шар - это просто механизм, который позволяет оптимизировать процесс майнинга. Чтобы шары находились не слишком редко (для того чтоб нормально работал тервер и закон больших чисел), и не слишком часто, чтобы не нагружать лишними шарами и майнер, и канал и сервер.

>Очевидная софтина на сайте пула, подключённая к ноде по RPC.

Да. И этот элемент хачат и всё.

>Нет, это может считать и софт ноды.

Я уже спрашивал как ты себе это предстваляешь. Спрошу еще раз. Как нода будет проверять "легитимность" выплат? Ходить в базу пула и сверять кто сколько шар прислал, пока копали блоки? Не кажется ли тебе, что злоумышленник, который получил доступ к пулу, может и базу поправить?

> софт ноды проверяет

НУТЫПОНЕЛ.

>Нет, блядь

У пула есть стратум и нода. Стратум управляет майнерами, нода блокчейном. Еще есть фронтэнд, в который ты ходишь дрочить на свои сатоши и промежуточный софт, который обрабатывает данные стратума и (у пулов, где так можно, на той же супрнове) команды пользователя из фронтэнда, превращает это в транзакции и пуляет их в ноду через API.

>Интересно, какие.

СУКА. Тебе одмины хуюмпа дали ссылку на толчок, ты ее читал перед тем как свои расследования проводить и охуительные истории рассказывать? Там отписывались пострадавшие.

>могут увести всё, тупо юзая встроенный API (консольные команды).

Конечно могут. Только для этого надо взломать пул. Естественно после этого можно пользоваться ШТАТНЫМ МЕХАНИЗМОМ, которым пул совершает транзакции.

Короче ты меня заебал. Может этот второй анон останется тебе разжевывать всю хуйню, а я уёбываю в закат.

>>233596

>Зачем? Чтобы проверять валидность транзакций в двух местах?

>Почему бы тогда не поставить еще олдин rpc зкщчу и проверять в трех? Почему не пять раз это делать?

Чем больше - тем лучше, ведь если похакали софтину сайта - сервер ноды не примет хуету.
Ещё лучше - было бы изменить команды на PRC proxy, чтобы слалось нечто типа

>withdraw_shitcoin amount address

>а после проверок чтоб - уже команда api формировалась и отправлялась локально.

В таком случае сервер ноды гудел бы проверяя это за счет вычислительных мощностей,
и наверное в ней надо бы распараллелить это дело, сварганив GRID.

>Например какие?

dumpprivkey, getaccountaddress, getbalance, listaccounts, sendtoaddress, signrawtransaction, sendrawtransaction

>Команда, которая отправляет коины должна работать (потому что так отправляются реварды майнерам),

>а больше ничего и не нужно.

И этого достаточно, чтоб увели монеты.

>Читал его?

Не, терь вижу, да и пофиг.

>Воркеры на пулах не перебирают nonce с начала и до конца возможных значений, а стратум не разбивает этот интервал между воркерами.

Т. е. вот эти шары booooo означают вовсе не ошибки вычислений у меня, а то что кто-то нашёл уже этот хеш,
и моя шара просто не принята пулом поэтому? Так?
Ну охуеть, тогда ведь этих booooo должно было бы быть намного больше, если майнеров на пуле много,
и если бы стратум-сервер не делил поиск нонс на задания меньшей сложности,
среди которых - тот самый нонс, дающий определённое сложностью количество нулей впереди хеша.

>Всегда выбирается рандомное значение и с него стартует перебор.

А если оно зациклится с fffffffffff и уйдёт в ноль, а дальше с нуля перебор - киловатты фермы насмарку что-ли?

>Подтверждением того, что ты действительно перебираешь нонсы является то, что ты сабмитишь шары

Да, я видел, там хешрейт меняется в зависимости от частоты отправляемых шар.

>Сложность шар - это просто механизм, который позволяет оптимизировать процесс майнинга.

>Чтобы шары находились не слишком редко (для того чтоб нормально работал тервер и закон больших чисел),

>и не слишком часто, чтобы не нагружать лишними шарами и майнер, и канал и сервер.

Если бы майнинг блока не делился на задания воркерам, шар с одинаковыми nonce было бы больше, а нагрузка на сервер и канал - выше.

>этот элемент хачат и всё.

Это и исключать надо, значит. Я предложил другое API на RPC proxy и проверку на ноду + allow IP localhost на реал RPC валлета.
Что предложил ты? Охуительные теории и нихуя, наркоманский мазафака.

>Я уже спрашивал как ты себе это предстваляешь. Спрошу еще раз. Как нода будет проверять "легитимность" выплат?

>Ходить в базу пула и сверять кто сколько шар прислал, пока копали блоки?

>Не кажется ли тебе, что злоумышленник, который получил доступ к пулу, может и базу поправить?

Можно установить связь софта ноды с самим стратум сервером, в обход пула, и периодически сливать оттуда IP и хешрейт,
в то время как сам стратум-сервер суммирует шары и выдаёт хешрейт.
Дальше, в соответствии с хешрейтом и наградой за блок - софтом ноды лимитируется сумма вывода, и если идёт всплеск хешрейта и суммы,
сигнал на апи не идёт, но идёт ошибка в лог, и возможно даже - лок валлета на ноде, командой walletlock.

>пуляет их в ноду через API

Через API скорее идут команды на формирование транзакций. Для отправки транзакции в сеть, её надо подписать приватным ключём.
Это может сделать только валлет, консольной командой signrawtransaction. Не думаю, что сама эта команда идёт от софтины пула.

>СУКА. Тебе одмины хуюмпа дали ссылку на толчок, ты ее читал перед тем как свои расследования проводить и охуительные истории рассказывать? Там отписывались пострадавшие.

Где эта ссылка? Тащи её сюда, а то мне впадло её рыть.

>Конечно могут. Только для этого надо взломать пул. Естественно после этого можно пользоваться ШТАТНЫМ МЕХАНИЗМОМ, которым пул совершает транзакции.

Ну охуеть теперь. Из этого вытекает следующий вопрос... Могут ли увести монеты из p2p через API?
Смотрите:
В валлете - встроено API,
в API - консольные команды управления валлетом.
Доступ к API - через RPC-сервер.
Логин-пароль RPC - в конфиге.
Сервер валлета - за маршрутизатором.
Случай 1. Порт во вне недоступен и закрыт на маршрутизаторе. Доступ по IP маршрутизатора на этот порт - закрыт. Взлома быть не может.
Случай 2. Порт проброшен во вне. Доступ по IP маршрутизатора на этот порт - открыт. Если ломают логин-пароль RPC-сервера, могут увести баланс ноды по API.
Это - пулы.
Случай 3. Сеть p2p, порт переназначается на роутере как в торренте и этот порт открыт. Ноду видно извне, но открыт другой порт. Из p2p могут стянуть баланс через API.
Всё верно?
Если так, то пикрелейтед. В конфиге rpcallowip=127.0.0.1 (localhost) + команды API только с локалхоста через RPC-proxy и после всех проверок. Тогда не уведут.

>Короче ты меня заебал.

На будущее - подбирай выражения, да по существу. Терь вали отсюда.

>>233613

>Чем больше - тем лучше, ведь если похакали софтину сайта - сервер ноды не примет хуету.

>Ещё лучше - было бы изменить команды на PRC proxy, чтобы слалось нечто типа

Еще раз, как конкретно нода будет проверять легитимность выплаты? Будет лезть за проверочными данными на похаченный пул? Это не улучшает безопасность практически никак, зато геморроя добавляет нехило.

>dumpprivkey, getaccountaddress, getbalance, listaccounts, signrawtransaction, sendrawtransaction

Все эти команды не нужны для пиздинга монет с балланса.

>sendtoaddress, sendfrom

Одна из этих команд должна быть разрешена, и она же позволит все спиздить.

>Я предложил другое API на RPC proxy и проверку на ноду + allow IP localhost на реал RPC валлета.

Твое предложение улучшает бузопасность чуть более, чем никак. Неужели ты этого не понимаешь?

>Что предложил ты?

Не допускать взломов пула. Так как если его взломали, то ничто не помешает злоумышленнику воспользоваться его штатным механизмом обращения к ноде и вывода монет(будь там хоть кастомные ключи, хоть пять прокси, хоть что).

>Можно установить связь софта ноды с самим стратум сервером, в обход пула, и периодически сливать оттуда IP и хешрейт,

в то время как сам стратум-сервер суммирует шары и выдаёт хешрейт.
Ты ёбнутый чтоль? То есть непосредственно на ноде ты хочешь крутить еще одну копию софта пула фактически?

>Не думаю, что сама эта команда идёт от софтины пула.

А не надо думать. Нужно либо посмотреть исходники, либо понять простой факт "софт ноды может инициировать транзакцию, какой конкретно командой это происходит - сугубо похуй".

>Порт проброшен во вне

>Это - пулы.

>Ноду видно извне, но открыт другой порт

Ну ты точно норкоман. Ты реально думаешь, что какие-то долбоебы выставляют RPC ноды голой жопой в Интернет?

>после всех проверок

Ты заебал своими проверками. Это неэффективно и сложно реализуемо. Именно поэтому никто так не делает блядь.

Тепарь ты точно меня заебал вкрай, я точно исчезаю отсюда.

>>233637

>Еще раз, как конкретно нода будет проверять легитимность выплаты?

Я уже расписал.

>Будет лезть за проверочными данными на похаченный пул?

Не на пул, а в стратум-сервер.

>Это не улучшает безопасность практически никак, зато геморроя добавляет нехило.

1. Стратум сервер у себя считает хешрейт воркера суммированием отправленных шар, и периодически обобщает и логирует эти данные.
2. Нода, или сервер на котором нода с валлетом и API с RPC-сервером -
обращается к стратум-серверу, и периодически сливает оттуда список воркеров их обобщённые хешрейты
и логирует всё это. Данных немного, трафика немного.
3. На машине с нодой в соответствии с хешрейтом и наградой за блок -
проверочным софтом лимитируется вывод, и отклоняются запросы на вывод большие, чем положено.
4. Если идёт внезапный всплеск хешрейта у воркера и заказ крупной выплаты сразу -
проверочный софт ноды запрашивает проверку хешрейта и шар на стратум сервере.
И всё это - в обход фронтенда пула, php-шников этих всяких и других скриптов на самом сайте пула.
Ещё лучше, если проверочный софт будет сливать эти данные со стратум сервера и проверять у себя,
ведь если стратум сервер тоже похачен, он не выдаст шары - чтобы выплата прошла
их прийдётся считать, также как и нонсы для них.

>Все эти команды не нужны для пиздинга монет с балланса.

Как это не нужны? Это ты тут наркоман, бля.
Смотри, допустим, кулхацкер может в консольные команды на ноде.
Сначала он получает список аккаунтов (имён адресов) валлета - listaccounts,
потом адреса этих аккаунтов - getaccountaddress,
затем балансы по адресам - getbalance,
дампит привы - dumpprivkey,
а затем формирует и подписывает транзакции на слив всех балансов со всех адресов - signrawtransaction,
и отправляет их в сеть, сливая всё - sendrawtransaction.
Последние две команды могут быть осуществлены и на других машинах, если есть привы.
Поэтому, ИМХО эти команды и следовало бы запретить выполнять удалённо.

>Твое предложение улучшает бузопасность чуть более, чем никак. Неужели ты этого не понимаешь?

Чё? С чего бы это? Бузопасность тут улучшает только отсутствие твоей бузы.

>Не допускать взломов пула.

Такие знаешь ли абстрактные методы защиты не являются чем-то конкретным.

>То есть непосредственно на ноде ты хочешь крутить еще одну копию софта пула фактически?

Не совсем, но отчасти и позапросам следовало бы и вгружать и суммировать шары по подозрительным адресам,
на которых обнаружен внезапный всплеск хешрейта и запрос на вывод. Если воркера нет - вывод отклоняется.
Пул обсчитывает всех воркеров, нахуя считать всех, если можно просто сливать обобщённые данные со стратум сервера
в виде небольшого лога периодически.

>Ты реально думаешь, что какие-то долбоебы выставляют RPC ноды голой жопой в Интернет?

А как по-другому ты представляешь себе подключение к валлету?
Я знаю, что ноды раздают блокчейн по p2p - как минимум, а значит можно подключиться на ноду, и вытянуть его оттуда.
В этом суть децентрализации криптовалют.
Однако подключение требует открытого порта,
не всегда конкретно определяемого в конфиге,
и не всегда соответствующего реальному (если роутер переназначает порты).
Но через p2p видно и IP и порт ноды, и так как на каждой ноде можно видеть последний блок -
по сути это нечто вроде консольных команд getblockcount, getblocknumber, getblockhash а ещё gettransaction <txid>
- т. е. команд подаваемых в API wallet'а через RPC на ноде.
Но для работы с блокчейном есть и усечённое API c теми же, но неполными командами:
например - вот: http://explorer.signatum.download/info
И я понять не могу, действительно ли это так, т. е. действительно ли PRC-сервер ноды доступен по p2p,
если его логин-пароль - тупо похачить. Отсюда и вопрос.

>Ты заебал

>ты точно меня заебал вкрай

Я тебя ещё голым не видел.

>>235240
Насколько я знаю, при выпуске токенов сумма указывается фиксированная.
Например те же токены iou1: http://wavesexplorer.com/tx/3cFGoYfimorAAERf6pB7XS5X49ozH6vJBVcwpq3kQ5d6
Quantity указана фиксированная: 10000000000000000
и это количество токено-сатош.
100,000,000.00000000 - т. е. всего 100 млн токенов.

Поэтому при связи какого-нибудь токена с сигами, количество монет
выпускаемого токена должно иметь сторого такое же количество как у SIGT,
а эмиссия - корректироваться непосредственно в соответствии со значением Coin Supply (SIGT) c сайта block-explorer.
Почему так? А чтобы не было разброса курсов между токеном и монетами сигнатума,
или если бы он даже и был этот разброс - то минимальный, как у токена USDT:
https://coinmarketcap.com/assets/tether/
Он всегда равен одному доллару (или почти одному), потому что количество монет корректируется, приближаясь к капитализации в долларах.

Но ещё более жесткой была бы связь токена с адресом в том случае,
если бы какие-либо личные данные от адреса SIGT на котором лежат монеты и баланс в сигнатумах,
входили бы и связывались с приватным ключём от адреса получателя токенов,
после чего следовала бы синхронизация транзакций между транзакциями токенов waves и блок-експлорером SIGT.
Какие же данные? Не приватный ключ же!.. Ну вот есть например ричлист инкакоина:
http://www.fuzzbawls.pw/explore/IncaKoin/ledger.php
Там есть кнопка Click To Claim. Блок-эксплорер - выдаёт хеш для подписи.
Если подписать этот хеш в qt и ввести цифровую подпись, сайт, проверяя её - знает, что этот посетитель является владельцем адреса.
Дальше, можно ввести имя, и оно будет сохранено в block explorer.
Так вот, некий хеш, могли бы генерировать waves для связи адреса токенов и адреса сигнатума.
А дальше - дело техники и никаких конвертаций.
И не обязательно при синхронизации балансов и транзакций - полостью дублировать блокчейн сигнатума,
достаточно работать только с привязанными адресами.

>>235373

>Адреса для Waves (а адресом твоего кошелька для будет Waves адрес) генерируются по отличной от SIGT схемы.

Это можно было бы достроить с выходом обновлений веб-валлета.
Насколько я понял, seed у waves - это некое урезанное подобие приватного ключа альткоинов в кодировке poetry.
Только там 15 слов вместо 24-х.
Например вот здесь: https://brainwalletx.github.io/#converter
hex (secret exponent) e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
сответствующий приватному ключу в формате WIF (кодировка Base58Check): 5KYZdUEo39z3FPrtuX2QbbwGnNP5zTd7yyr2SC1j299sBCnWjss
кодируется в кодировке poetry 24-мя словами:
woman everyone rape listen strife flash breath tune held dragon especially least love nerd weave bag weary wound excuse sane pound acid shame awe
У waves - seed намного меньше, здесь 15 слов. К тому же они не совсем из этого словарного запаса.
Например: hundred huge later leopard urban congress neutral resource setup script obscure they visual shock tank
Назад с poetry этот сид сконвертировать нельзя, но я так полагаю там 128-разрядный ключ.
Конечно, всё это может быть усовершенствовано.
Адреса альткоинов, как правило генерируются из приватных ключей по одной и той же схеме. Пикрелейтед.
Открытый ключ - это приватный ключ в качестве k, умноженный на генераторную точку на эллиптической кривой G.
У какой-то монеты кривая другая, у какой-то первый байт, у какой-то алгоритмы хеширования другие - всё это есть в их открытых исходниках.
Поэтому можно было бы вполне юзать всё это в веб-валлетах, ИМХО.

>Далее, реализовать на Waves автоматическую эмиссию на данный момент невозможно.

А ничего эмитировать и не нужно при жётской связи токенов и монет,
достаточно периодически синхронизировать total coins с блок-эксплорера, какими-нибудь запросами,
или тупо в качестве источника данных запхнуть туда значение с http://explorer.signatum.download/ext/getmoneysupply
которое вгружалось бы при каждом обращении к странице ASSET INFO.
Это не больше чем справочная информация, ведь все монеты - находятся в сети сигнатум.
Эмиссией же занимаются майнеры, находя nonce от блока, и получая за это награду.
Важно только чтобы общее количество токенов в точности совпадало с количеством sigt,
чтобы они не котировались между собой и всегда были 1 к 1.
Если адреса будут те же самые, они вообще могут не котироваться между собой, поскольку это вообще потеряет смысл.
Ну и конечно же всякий скам, обменники, задержки вывода и прочее - при этом будут исключены.
Dex при этом использовалась бы лишь как площадка для торгов, а сами монеты двигаются при этом по сети SIGT, а не только внутри waves blockchain.

>Только если вручную, но там комиссия и владелец токена, в таком случае, может любое число ввести и ливануть на бирже.

А вот чтоб такого не было - можно было бы создать несуществующего владельца с особым системным адресом,
приватного ключа от которого не может быть в природе,
и чтобы у этого владельца адрес являлся перепроверяемым всеми хешем Genesis block'a SIGT, например.
http://explorer.signatum.download/block/00000c325a3586e495e56bccedf9a8bf6dc21d91df7a8ae1151627c2c3351c99
Вообще-то этот хеш можно было бы и в адрес наверное конвертировать, используя в качестве открытого ключа.
Но изменить эмиссию врядли удалось бы, ведь для этого нужно сбрутить прив, который соответствовал бы этому адресу.
А потом просто обозвать владельца SIGNATUM, и добавить загрузку общего количества монет через API block-explorer'a.