Topic: Некастодиальный мультикошелёк (Read 798 times)

Блин, это я лажанулся.

Со смарт контрактом может произойти что угодно
DeFi hacks [history]
https://bitcointalksearch.org/topic/defi-hacks-history-5267124
Смарт контракт может быть не только взломан, но и разработчики свалить, и чтобы инвестировать в токены вам нужно разбираться в этом. Смарт контракт не может глючить, но их пишут люди, которые ошибаются. Если ошибку найдет северокорейский хакер, то он сможет украсть токены и слить. Соответственно их цена упадет, а вы потеряйте.

У меня такое впечатление, будто от разъяснений вы только больше путаетесь. Токены в bitpay такие же токены, как и в любом другом кошельке, а уж чем они обеспечены это очень важный вопрос, но опять же не к bitpay, а к тем, кто эти токены эмитирует (создаёт и управляет)...  
Соответственно вопрос про разработчиков теряет смысл.

P.S.: иметь несколько учётных записей на форуме не запрещено, но их анонимность тоже смысл теряет, если отвечать в своей теме от имени другой учётки 

Значит, ещё раз: правильно ли я понимаю, что все эти токены в Bitpay - это некие новокоины, которые обеспечены реальными биткоинами или usdt-шками через смарт-контракты?
Точнее не только обеспечены, но и обеспечены полностью (мультипликатор 1:1)?
Тогда вопрос, какова вероятность, что смарт-контракт заглючит, или окажется что залог разработчики Bitpay таки смогли потратить, или что-то в этом роде, и мои деньги, хранимые в Bitpay, пропадут?

Эммм... Представляете, приходите вы в автосалон для покупки автомобиля, даже деньги уже с собой, не особо разбираетесь, но знаете точно какие характеристики вам точно важны, ведь автомобилем вы планируете пользоваться сразу после покупки. А менеджер в салоне вам начинает рассказывать про какое-то авто, которое анонсировано одним из производителей и часть функций, которые вы так хотите, они будут в этом супер-пупер премиальном авто. Да, вы можете купить то, что вам нужно прямо сейчас, а он вам вещает про какие-то свои собственные хотелки.
Так вот рассказы про некий Prime тут сейчас выглядят так же. 

Упоминаю потому, что они планируют  Prime и как мультивалютный кошелёк ^{для тех, кто-то этого захочет.} Будет соответствующая прошивка.

Они разработали  абсолютно  новую операционную  систему ^KeyOS, которая позволит управлять многочисленными приложениями, в том числе теми, которые связаны с другими койнами, по-видимому не обойдут и стейкинг для тех сетей, которые это позволяют.

Говоря о комбайне яимел ввиду объединение в одном устройстве функций кошелька, аппаратных ключей, шифрованных хранилищ и прочего , чем пользуются сегодня криптаны. Я считаю такое объединение менее гибким и более уязвимым ^{лишился одного и довольно дорого устройства в 300 баксов и лишился всего}, чем отдельные специализированные устройства, каждое из которых выполняет свою функцию.

Почитал про этот аппаратник и не понял почему вы его тут поминаете вообще. В рамках мультивалютного кошелька от него толку немного: простой passport только с биткоином дружит, а prime... умеет ли optimism с его токенами про которые тут автор темы спрашивал?
Как застейкать atom, celestia, ленивца за 5000 баксов на старгейз купить используя этот комбайн?  

Цена одного диода Зенера 50 центов в розницу, в опте на порядок дешевле.




Может быть, но я перфекционист и если есть  возможность выбрать лучшее из двух вариантов, всегда останавливаюсь на лучшем. Кроме того у паспорта есть ещё некоторые преимущества,

Например мне очень не нравится то, что у кейстоун встроенная батарея. У пасспорта она съёмная, стандартная, а значит легко заменяемая. Это кошелёк премиум класса во всём - дизайне, выбранных материалах, програмном обеспечении.

Они кстати разработали  новую модель,  Passport Prime, некий "криптокомбайн", но объединение многих устройств в одном теле  мне не нравится. Если интересно почему, можете почитать здесь.

Интересно узнать ваше мнение по этому поводу.

Тем не менее, даже с очень кривым кубиком, брошенным 100 раз, энтропии будет более чем достаточно.

Пример. У нас есть кубик, падающий на разные стороны с вероятностями 5%, 10%, 15%, 20%, 23% и 27%. Правильный кубик дает энтропию log₂(6) = 2.585, наш же даст "только" -(0.05*log₂(0.05) + 0.1*log₂(0.1) + 0.15*log₂(0.15) + 0.2*log₂(0.2) + 0.23*log₂(0.23) + 0.27*log₂(0.27)) = 2.42. То есть для сида из 24 слов мы получили 242-128=114 бит избытка энтропии даже при таких нереально плохих вводных. Для 50 бросков кубика получится 121 бит, это меньше желаемых 128, но ненамного, такое не взламывается. При более реальных условиях эта разница будет значительно меньше.

Шум стабилитрона - это, конечно, хорошо, но в данном случае необязательно, это скорее маркетинговый ход, чтобы накинуть к цене Passport лишних 20 баксов .

Подбрасывание игральных костей это не естественный природный процесс. Даже один единственный кубик нельзя сделать идеальным, с идеально одинаковыми ^{во всём} гранями, не говоря о том, чтобы обеспечить одинаковое влияние ^{во время подбрасывания} внешнего окружения на его грани. Поэтому сравнивать энтропию, генерируемую кубиками, и с той, которая создаётся лавинным пробоем не корректно.

В том же Keystone (как и в Coldcard, Jade, Passport, SeedSigner и возможно других) есть фича вычисления последнего слова сид-фразы, поэтому те, кто не доверяет встроенному генератору или упомянутой вами функции ввода значений кубиков, могут сгенерировать 11 (23) слов без использования цифровых девайсов (монеткой, кубиком итп), например, как расписано здесь, а последнее слово с контрольной суммой уже выбрать из предложенных кошельком.

У keystone тоже такая фишечка есть: Keystone 3 Pro – СОЗДАНИЕ кошелька с помощью ИГРАЛЬНЫХ КОСТЕЙ
Или вот видео с официального канала keystone ещё есть: How to Generate Seed Phrase Using Dice Roll on Keystone
Сам не пробовал, вполне доверяю механизму генерации без этих странных ритуалов, хотя ребятам из zcash наверное бы очень понравилось. 

Можно и keystone 3. Я предпочитаю Passport 2 потому, что он генерирует SEED из энтропии, которую создает истинно случайный физический процесс, а именно лавинный пробой диода.


Это и понятно, так как у вас нет Тангемы и вы не можете вникнуть в тонкости.

У меня он есть и я могу просмотреть и отредактировать то, что он отсылает ^{кстати через установленный у вас на смартфоне имейл клиент} в поддержку.


Специально для ваших немолодых глаз придумал увеличивать шрифт для дефолтной многоэтажности. Думаю зацените.

Нет, биткоин там настоящий. Одна мнемоническая фраза может давать доступ к различным криптовалютам, в том числе Bitcoin, Solana, Cosmos Hub, Ethereum и десятки других c собственным блокчейном. Криптовалюты, которые поддерживают смарт-контракты являются в свою очередь хранилищем и исполнительной средой для токенов.
Поэтому, когда ethereum только появился, его называли "интернет-компьютер". Выключите компьютер и программы на нём перестанут выполняться соответственно. Аналогично и с криптовалютами - если блокчейн Optimism или ZKsync перестанут работать, то и никакие токены на нём нельзя будет ни принять, ни отправить.

Что прописано в коде смарт-контракта кстати можно посмотреть в блокчейне. Вот например код смарт-контракта токена ID в блокчейне Ethereum: https://etherscan.io/token/0x2dff88a56767223a5529ea5960da7a3f5f766406#code

Биткоин тоже есть токенизированный: WBTC, tBTC и ещё куча всяких. Тут история как и с эмитентами USD токенов - они говорят и как-то доказывают, что их токен обеспечен реальными долларами и ценными бумагами, а люди в свою очередь радостно используют их токены, например, для элементарной пересылки друг другу вместо банковских платежей.

xandry

Правильно ли я понял, что в Bitpay вообще все варианты монет это токены? И биткоины тоже? Но я не понимаю, что такое токены биткоина, если биткоин это старая криптовалюта без смарт-контракта.
И можно в двух словах, какой прописан код в смарт-контракте токена? Я по-прежнему туплю что такое токены, исхожу из того что это типа долги которые обязан выплатить смарт-контракт.

Это базовые знания по крипте, знать о которых полезно, но не обязательно вовсе. Я бы даже сказал, что необходимость этих знаний для простого пользователя в принципе сомнительна. Если сравнивать с какой-то другой популярной технологией вроде компьютеров или смартфонов, то ими пользуются практически все, но надо ли всем знать какой сокет у процессора и как происходит передача данных от него к оперативной памяти?

Если всё же интересно:
Каждый токен работает на базе своего смарт-контракта. С чего начинается жизнь токена? В современном мире для создания токена достаточно на какой-нибудь прощадке типа pump.fun выбрать логотип, количество токенов, полное и сокращённое название, добавить ссылки на сайт и соцсети. Всё.
Вот даже видео есть: PumpFun: как создать мемкоин на Solana?
Крупные проекты обязательно запариваются ещё над токеномикой, кому сколько токенов дать, запихивают их в смарт-контракты для постепенной разблокировки и т.д.

Как я уже ранее писал, большая часть кошельков сейчас начинает отображать токены, если они просто уже оказались на нашем адресе кошелька (мы или кто-то другой их прислал например).
Но допустим мы работаем с кошельком Bitpay или просто хотим убедиться в том, что добавили токен правильно.

Адрес контакта можно найти на:
1. Аггрегаторах типа https://www.coingecko.com/en/coins/pyth-network или https://coinmarketcap.com/ru/currencies/pyth-network/
В данном случае примером нам послужит токен Pyth и на этих двух сайтах нам показывают контракт "HZ1JovNiVvGrGNiiYvEozEVgZ58xaU3RKwX8eACQBCt3"

2. Можем найти адреса контракта на официальном сайте в документации: https://docs.pyth.network/home/pyth-token/pyth-token-addresses

3. Обозреватель блокчейна:
https://solscan.io/token/HZ1JovNiVvGrGNiiYvEozEVgZ58xaU3RKwX8eACQBCt3
Эту ссылку кстати мы можем найти в документации и в аггрегаторах тоже. В обозревателях видно всё, что с токеном происходит и происходило когда-либо.

xandry, я сейчас склоняюсь к тому, чтобы выбрать либо Bitpay, либо OKX как вы советуете. Тут такой выбор. Указание смарт-контракта в Bitpay, с одной стороны, это неприятная хрень которая должна многих отталкивать. Но с другой стороны, может мне полезно с этим разобраться, т.к. это сделает меня более подкованным в смарт-контрактах?
Я хочу понять принцип, каким боком тут смарт-контракты. Понимаю что эти сложности, так или иначе, являются платой за децентрализацию. Ещё проблема - помогут ли мне с этим разобраться (штудировать книги по этой теме мне явно не по силам). Буду возлагать надежду, что мне дадут возможность хотя бы заплатить за консультацию.

А keystone 3 pro почему для битка не подходит? У него даже отдельная прошивка есть "bitcoin only": https://keyst.one/firmware

Нет, не значит.
В Safepal есть внутрянняя функция обмена через Binance, mexc, 1inch и ещё кого-то. Естественно всё, что там происходит это уже не зона ответственности Safepl.
В OKX тоже через их биржу, 1inch, uniswap.

Интернет подсказывает, что внутренний обмен также есть у Jaxx, Exodus и Coinomi.

Закрытости кода прошивки более чем достаточно, чтобы не советовать использовать данный продукт.Что-то на гитхабе действительно лежит, но можно ли из этого собрать приложение? Вы знаете кого-нибудь, у кого это получилось? По крайней мере, на известном сайте этот кошелек тест не прошел и помечен как "no source". А если действительно нельзя собрать рабочее приложение, то зачем кому-то читать код рандомных файлов?
Я в тонкости не вникал, не могу сейчас оспорить это или согласиться. Но сам факт, что ключи "холодного" кошелька оказались в открытом виде на смартфоне с интернетом, уже много говорит о надежности хранения на таком кошельке.
Для сумм, которые не очень жалко потерять, не нужен никакой тангем, достаточно хорошего программного кошелька, а для совсем мелких и кастодиального.

p,s. Мои немолодые глаза напрягаются от мелкого шрифта в ваших сообщениях, не знаю зачем вы эту многоэтажность придумали, лучше бы уж капсом писали.

Конечно в курсе.

Насчёт закрытого кода и бывшей ^{и уже исправленной} уязвимости Тангем.

Код закрыт только для прошивки, т.е. той части которая отвечает, за генерацию ключей, их хранение,  ПИН, бэкап с помощью дополнительных карточек, взаимодействие с элементом безопасности, встроенного в карточки и тому подобное.

Код самого приложения, ^{как для Андроид так и для Яблока} был и остаётся открытым и его можно посмотреть на гитхабе, т.е та часть кода, в которой оказалась эта дыра была для всех открыта. Это показывает, что никого из пользователей открытый код не интересует.

Я вам скажу больше. Тангем приложение  даёт вам возможность просмотреть то, что оно собирается отправить вподдержку в случае если вы инициализировали с ними свою коммуникацию. И не только просмотреть, но и отредактироватьего убрав все подозрительные части. Поэтому произошедшее лишний раз указывает на беспечность тех пользователей, которые отправляли свои СИДы в поддержку. Они даже не удосужились взглянуть на то, что же они отправляют ^{не то что просмотреть открытый код}. Виноват в данном случае не закрытый код ^{который на самом деле открыт}, а закрытая и не способная самостоятельно мыслить прошивка мозга пользователей.

Самым большим недостатком Тангема ^{который присущ всем кошелькам подобного формата} это невозможность проверить подписываемую транзакцию непосредственно с помощью самого устройства ^{ввиду отсутствия на нём т.е. на карточке дисплея}. Можно только просмотреть то, что сгенерировало для подписи приложение в самом приложении.

Поэтому я и говорю, что для больших сум я его не использую. Для 100- 1000 баксов, пополняемых  по мере нужды, я не вижу никаких проблем. Так его и использую


Для довольно много и таr чтобы  держать  и так чтобы в разной крипте я бы выбрал keystone 3 pro.

Для битка - Passport 2.