Pages:
Author

Topic: Онлайн-биткоин кошелек Матби (Read 9204 times)

newbie
Activity: 1
Merit: 0
Воспользовался сегодня сервисом Матби, деньги перевел, получил на баланс быстро, в течении 20-30 минут. Нужно было срочно вывести БТС но там в первый день активности лимит на вывод, сказали в 0,5 БТс.
обратился в службу поддержки, объяснил ситуацию. Сказали что помогут, сделают исключение. По итогу вывели в ручном режиме. Сервису оценка 5\5. 
legendary
Activity: 1554
Merit: 1008
в такой реализации очень даже норм

 + еще в скрипт закатать время - если больше оного то деньги клиенту возвращаются - например через год
legendary
Activity: 1400
Merit: 1000
В bitgo(http://d2bx26666ysa1s.cloudfront.net/wp-content/uploads/2014/01/bitcoin-wallet-architecture-comparison.jpg) кстати решили работу с сигнатурами так:
hero member
Activity: 505
Merit: 512
El sueño de la razón produce monstruos
мультисиг
Объясните мне тогда, нет клиентам, если они могут хранить приватный ключ для подписи, без которого доступ к монетам невозможен, то зачем им вообще онлайн хранилище?
- объясняю: онлайн хранилище (для хранения первой сигнатуры) может понадобиться тем пользователям, которые не могут 100%-но исключить компрометацию второй сигнатуры (хранящейся у клиента). Именно про таких клиентов говорит топикстартер - у которых траяны на компе и т.п.
Так вот хакер, похитивший у такого клиента его сигнатуру (т.е. вторую из двух), не сможет украсть биткоины этого клиента, если только не вступит в сговор с владельцами онлайн-хранилища. Потому, что первую сигнатуру клиент никогда не получает из онлайн-хранилища на свой зараженный комп, он только активирует её при помощи двухфакторной авторизации (и пересылки своей второй сигнатуры).
В то же время и владельцы онлайн-хранилища не смогут украсть средства клиента, т.к. не знают второй сигнатуры, разве только если сами постараются хакнуть компьютер клиента.

мультисиг
.. сервис ... просто обречен окончить как десятки аналогичных сервисов того же уровня до него. И не важно, кто или что будет причиной очередной потери средств клиентами - безалаберность, кража хакерами или сами владельцы решат что суммы на счетах превысили уровень их совести, если отвечать некому, то и говорить не о чем.
- в случае мультисигнатур ни хакеры, ни владельцы не смогут увести деньги из онлайн-хранилища (т.к. они не знают вторых, клиентских сигнатур). Вот из-за безалаберности - да. Но для этого владельцам хранилища нужно потерять всю базу, и ещё не сделать ни одной резервной копии.
legendary
Activity: 1120
Merit: 1069
как я уже сказал, да
p.s. coinbase кстати работает вполне в законе, точнее его уровень в легальном смысле заметно выше btc-e и наверное даже bitstamp и тем более blockchain.info
member
Activity: 81
Merit: 10
К сожалению, пока сервис существует в не регулируемом пространстве, он просто обречен окончить как десятки аналогичных сервисов того же уровня до него. И не важно, кто или что будет причиной очередной потери средств клиентами - безалаберность, кража хакерами или сами владельцы решат что суммы на счетах превысили уровень их совести, если отвечать некому, то и говорить не о чем.
Тоже самое может случится и с btc-e.com и с coinbase и с blockchain. Не хотите хранить - никто не заставляет, купили биткоины через Матби и тут же вывели на свой любимый кошелек.
legendary
Activity: 1120
Merit: 1069
мультисиг
Объясните мне тогда, нет клиентам, если они могут хранить приватный ключ для подписи, без которого доступ к монетам невозможен, то зачем им вообще онлайн хранилище?
Electrum предоставляет на порядок более удобные механизмы для хранения доступа к своим монетам, при не предоставлении и доступа к ним никому другому.

Единственная польза централизованного онлайн хранилища - человеческий саппорт и привычные 'дедовские' методы доступа к средствам.

К сожалению, пока сервис существует в не регулируемом пространстве, он просто обречен окончить как десятки аналогичных сервисов того же уровня до него. И не важно, кто или что будет причиной очередной потери средств клиентами - безалаберность, кража хакерами или сами владельцы решат что суммы на счетах превысили уровень их совести, если отвечать некому, то и говорить не о чем.

p.s. к сожалению, это проблема курицы и яйца.
Финансовые стартапы вне области bitcoin ограничены слишком большой зарегулированностью и высокими требованиям по ресурсам только для запуска. В противовес этому bitcoin-стартапы имеют чуть ли не нулевую стоимость входа именно благодаря отсутствию лап регуляторов.
hero member
Activity: 505
Merit: 512
El sueño de la razón produce monstruos
про хранение приватных ключей на стороне юзера больше не пишем и так все понятно. Будут другие предложения?
- другое предложение. Реализовать мультисигнатуры 2:1. Одну подпись вы храните как сейчас, но при этом украсть клиентские денежки не можете.
Когда клиент хочет потратить свои биткоины/лайткоины, он вводит вторую подпись, и деньги уходят по назначению.
Осталось убедить клиента, что вы не перехватываете эту его вторую подпись.
member
Activity: 81
Merit: 10
сайте информация по тарифам и лиц. соглашение?
Соглашение там есть, а по тарифам выложим через пару дней, когда будет апдейт. Сделайте пожалуйста скидку, мы ведь только открылись недавно (04.04.2014), и мы еще в статусе бета
member
Activity: 81
Merit: 10
Вы не понимаете основ, о какой разработке безопасного сервиса хранения можно говорить?

Троян или фишинг позволяют подменять отображаемую и вводимую клиентом информацию, т.е. клиент делает запрос вывести 0.1btc по адресу xxx, а троян на сайт отправляет (это происходит уже после ввода с клавиатуры, например инъекция javascript кода на страницу сайта) объем и адрес уже нужные клиенту, ваш сервис отсылает sms подтверждения (или используется код от google authenticator), его клиент и вводит, думая что подтверждает свою операцию.

Да, этот вид атаки можно исключить, добавив в sms подробности об операции. Я просто привел простейший пример.

Так у нас подробности об операции и отображаются в СМС, давайте реальную критику имеющую прямое отношение к Матби, а не так в общем. В общем можно сказать, что завтра на Вас может кирпич упасть.
legendary
Activity: 1120
Merit: 1069
Вы не понимаете основ, о какой разработке безопасного сервиса хранения можно говорить?

Троян или фишинг позволяют подменять отображаемую и вводимую клиентом информацию, т.е. клиент делает запрос вывести 0.1btc по адресу xxx, а троян на сайт отправляет (это происходит уже после ввода с клавиатуры, например инъекция javascript кода на страницу сайта) объем и адрес уже нужные клиенту, ваш сервис отсылает sms подтверждения (или используется код от google authenticator), его клиент и вводит, думая что подтверждает свою операцию.

Да, этот вид атаки можно исключить, добавив в sms подробности об операции. Я просто привел простейший пример.

Мы уже подключены к шлюзам visa/mastercard, у нас есть вывод на эти карты.
Где на сайте информация по тарифам и лиц. соглашение?
member
Activity: 81
Merit: 10
например лицензированный банк с поддержкой bitcoin, подключитесь к платежным шлюзам типа visa/mastercard и/или заключайте прямые соглашения о переводах с крупными банками.

Мы уже подключены к шлюзам visa/mastercard, у нас есть вывод на эти карты.

Да Вы что?!  У любого банка, как только он начнет работать с битками, тут же отберут лицензию, т.к. это будет нарушением этой самой лицензии.
member
Activity: 81
Merit: 10
Простейший троян, да просто фишинговый сайт, с атакой на DNS клиента или другой с атакой man-in-the-middle, в момент запроса пользователем вывода или перевода средств, способен подменить указанные адреса и объемы на данные злоумышленника. И пользователь добросовестно подтвердит эту операцию.

1)Моего знакомого с аккаунтом на btc-e обворовал простейший троян-keylogger, который считал его пароль от btc-e и от его почты, после чего все его деньги были выведены без его ведома. Такого с пользователями Матби не случится, т.к. троян не сможет прочитать код из СМС. Да и кодовое слово у нас  тоже простым кейлоггером не считаешь.

2)То про что Вы говорите,
Да Вы правы и конечно 100% защиты не может быть, если под нас сделают специализированный троян, который будет подменять реквизиты в момент совершения, например, платежа за услугу в биткоинах, то хотя бы украдут не все деньги, а только те которые вы хотели потратить на оплату услуги. Согласитесь это разные вещи.

Первую атаку может провернуть даже школьник, а вторая посильна лишь профессионалам.  Таким образом, вывод очевиден: Матби более безопасен чем btc-e.
legendary
Activity: 1120
Merit: 1069
Матби же можно безопасно использовать даже с компьютера где кишат вирусы и трояны.
Уважаемые...
Не нужно вводить в заблуждение ваших пользователей! Это утверждение - не правда. Простейший троян, да просто фишинговый сайт, с атакой на DNS клиента или другой с атакой man-in-the-middle, в момент запроса пользователем вывода или перевода средств, способен подменить указанные адреса и объемы на данные злоумышленника. И пользователь добросовестно подтвердит эту операцию.

Ни один онлайн сервис не может быть защищен от злоумышленников так как opensource приложение без автоматического обновления (особенно если клиент самостоятельно проводит аудит кода). Что бы там не писали про blockchain.info, это тоже онлайн сервис, и код управления средствами может быть изменен владельцами сервиса персонально для клиента в любой момент.

В конечном счете, в попытках улучшить безопасность, вы или ваши (потенциальные) клиенты, придут к аппаратным кошелькам. Подумайте в этом направлении.

p.s. и уменьшите ваш рекламный спамопыл, иначе вас постигнет участь копроларк биржи.
Если вы 'честные ребята', вы выбрали неверное направление развития для проекта. Рынок простых онлайн хранилищ - переполнен, работайте в тех направлениях, где поле не пахано, - например лицензированный банк с поддержкой bitcoin, подключитесь к платежным шлюзам типа visa/mastercard и/или заключайте прямые соглашения о переводах с крупными банками.
member
Activity: 81
Merit: 10
Ох, вы, ребята, с огнём играете. Нужно вам по минному полю ходить?
Лучше сделайте сейф, и в него складывайте распечатки на бумаге в несгораемом герметичном термосе.
Всё остальное — yet another inputs.io... на котором я потерял дофига монет.

Идея сделать защищенный веб кошелек появилась, когда сразу двое моих друзей потеряли свои биткоины на btc-e.com И потеряли не потому, что btc-e их украли, с честностью у них все хорошо, а потому  что хакеры достаточно легко заразили их компы и вывели деньги с аккаунтов btc-e.com.

Вы думаете btc-e случайно что-ли выкладывает каждые 3 месяца в новостях инструкцию как защитить свой аккаунт от взлома?


Матби же можно безопасно использовать даже с компьютера где кишат вирусы и трояны.

А поводу обвинений наших конкурентов, что мы тут все затеяли чтобы всех кинуть, я вот что скажу: Подумайте стали бы мы так сильно заморачиваться с обеспечением пользовательской безопасности и тратить огромные деньги на проведение аудитов безопасности и тестов на взломы, чтобы тупо испариться? Ведь, проще было сделать сайт за 1 копейку вообще без защиты
member
Activity: 81
Merit: 10
Представим себе, что ваш клиент сейчас покупает 3-4 монеты, напивается и всем рассказывает в большой компании. Кто-то примечает, и когда монеты очередной раз делают x10 подсылает любителю выпить весёлых подруг, которые перешлют парочку смс с телефона отрубившегося любителя повеселиться.

Мы этот момент также продумали, есть еще Кодовое Слово.
legendary
Activity: 954
Merit: 1003
Происки конкурентов, сейчас еще набегут писать что кидалово, т.к. пишут отзывы люди со свежей регой и без постов. Еще раз не пишите здесь отзывов, для этого есть другая ветка. Здесь только критика самой идеи

Вот вам советы:
1. для маленьких сумм (менее 1 монеты) оставьте всё как есть.
2. рекомендуйте своим клиентам фото своё загрузить, желательно несколько и другие данные указать.
3. не выводите существенные суммы без видео связи или личного контакта
4. ...

Дело затеяли нужное, но мобильный телефон вообще-то крайне просто украсть. Не забывайте.

Представим себе, что ваш клиент сейчас покупает 3-4 монеты, напивается и всем рассказывает в большой компании. Кто-то примечает, и когда монеты очередной раз делают x10 подсылает любителю выпить весёлых подруг, которые перешлют парочку смс с телефона отрубившегося любителя повеселиться.
legendary
Activity: 954
Merit: 1003
Привет, друзья. Как вам идея сделать удобный и защищенный биткоин  кошелек, чтобы им могли пользоваться не только трейдеры и линуксоиды?

Мы сейчас проводим открытое бета-тестирование реализации этой идеи - http://matbea.com. Для бета-тестеров предусмотрен пожизненный тариф со пониженными комиссиями.

Пока из способов пополнения только пейр, но скоро появятся  новые.

Любая критика приветствуется Smiley

Ох, вы, ребята, с огнём играете. Нужно вам по минному полю ходить?

Лучше сделайте сейф, и в него складывайте распечатки на бумаге в несгораемом герметичном термосе.

Всё остальное — yet another inputs.io... на котором я потерял дофига монет.
member
Activity: 81
Merit: 10
Отличный сервис! Рынок давно ждал таких решений! Теперь без лишних сложностей можно обменять свои рубли на биткоины!

Это не тема для отзывов, прошу их здесь не публиковать. Здесь обсуждаем только саму идею и ее реализацию. Но все равно Спасибо большое
от нового ника у которого это единственное пафосное сообщение - лучше антирекламы не придумаешь.

Происки конкурентов, сейчас еще набегут писать что кидалово, т.к. пишут отзывы люди со свежей регой и без постов. Еще раз не пишите здесь отзывов, для этого есть другая ветка. Здесь только критика самой идеи
legendary
Activity: 2184
Merit: 1012
Вообще не надо тут устраивать холивар, про хранение приватных ключей на стороне юзера больше не пишем и так все понятно. Будут другие предложения?
Будут. "Отличный сервис! Рынок давно ждал таких решений! Теперь без лишних сложностей можно обменять свои рубли на биткоины!" от нового ника у которого это единственное пафосное сообщение - лучше антирекламы не придумаешь. Меньше пафоса - глядишь, если сервис стоящий и не лохотрон, то появятся нормальные комментарии от нормальных юзеров сервиса. Grin
Pages:
Jump to: