Topic: [ANN][SEM] Semux - первый BFT-блокчейн на Java - page 64. (Read 602232 times)

Разве не платят? С первых дней запуска тестовой сети работает bug bounty.
Да оно и сейчас работает
Bug bounties: 100 ~ 100,000 SEM, please submit bugs to https://github.com/semuxproject/semux-core/issues
И не мало правок было внедрено после замечаний.

тестеры это одно, но так же есть такая штука как аудит, да и вообще не всегда все если найдут уязвимость хотят на ней заработать, есть и другие случаи взять тех же белых хакеров, самое главное что на поиски багов выделен бюджет

Не то чтобы в защиту, но все же - эта уязвимость появилась в 2016 и обнаружилась в сентябре и это человеческий фактор. Вместе с тем, прошло почти 2 года пока ее нашли и никто ее так и не использовал.. вот тут как раз и было сказанное мною о том, что далеко не все уязвимости ведут к критическим последствиям.

Что одному хорошо, другому плохо Я все же думаю в коде есть какие-то баги, просто пока неизвестно какие они могут иметь последствия и их пока никто не нашел. Так что это не есть хорошо, когда за отлов багов не платят - за разработчиками всегда должны быть тестеры, а так разработчики почти всегда допускают какие-то ошибки и где-то слышал или читал что даже есть допустимые нормы на определенное количество строк кода.

баунти убрали и сразу в ветке начались вопросы и обсуждения по теме проекта, а не как было до этого 100500 вопросов про баунти на которые давались ответы в предыдущих страницах, по поводу баунти по багам, это же хорошо что за них давно не платили, значит их нет, ну или либо никто не ищет, что врядли

не отменяли, но давно не выплачивали -- факт.
Подробности программы https://bitcointalksearch.org/topic/m.29841937
отчеты по выплатам ( в том числе и за баг-баунти) https://docs.google.com/spreadsheets/d/1rnxnnJSZU-tCfL_mhuvWl9P1tvrx268NvSPhj92D0a8/edit#gid=0

1. "через иньекцию просто хакнуть". Во-первых, через инъекцию чего?
Во-вторых, показательно, что у тебя в этом слове ошибка. Обычно профи свои термины знают (примелькались) и ошибок в них не делают. Не говоря уже о том, что ты используешь контекст либо без понимания, либо в каком-то узком нетипичным смысле.

2. "через двойные траты получить контроль". Расскажи как получить контроль через траты? И контроль над чем?
Двойные траты - это возможное следствие контроля над производством блоков. Слова местами поменял и смысл сломался.
Кстати, в semux организовать двойную трату можно только заменой клиента. Здесь нет форков в отличие от классических pow-алгоритмов, нет конкурирующих блоков. Поэтому двойные траты совсем не угроза для Semux или того же Cosmos (Tendermint, который и заложил основу в массовую реализацию BFT-алгоритмов).

3. "В битке уже все заделали в первые годы". За новостями не следишь?
Так тебе даже в этой ветке о недавней уязвимости битка написали.


Скорость разработки (при хорошей производительности) и распространённость (как следствие большое количество специалистов, средств разработки, инструментария, библиотек, проектов, документации/стандартов). Странно, что как программист ты этого не понимаешь.

И опять же, "блокчейн на java". Подобная формулировка простительна либо для новичка в крипте и/или для человека далёкого от программирования. Но вот для человека рассуждающего о взломостойкости софта и выбора платформы для разработки...
А эфир это блокчейн на чём? (вопрос с подвохом).

P. S. Для желающих похакать, напоминаю, здесь есть баг-баунти (по-крайней мере, была - уточняйте).

А если в С есть уязвимость, то хакнуть что-ли нельзя? Дыра в коде будет дырой в коде независимо от языка программирования. И потом, не все уязвимости ведут к критическим последствиям. А что биткоин проверен на предмет уязвимостей значительно лучше семок и наверное любой другой криптовалюты - тут бесспорно.

Напомните-ка пожалуйста онлайнваллет. Он идет с гарантией безопасности от разрабов?

Я держу семки. Но без какого-то мощного шага в развитии проекта, он обречен. Пока наблюдаю.

Думаю у семукса есть все шансы оказаться на бинансе,правда комьюнити у нас не совсем дружное и сплочённое,это видно и по твитеру и по телеграму и в дискорде общаются только пару десятков человек всего.

Там еще в комментах, кто-то раскрывает значение термина " humble". Если я все правильно поняла, что у монеты нет премайна и сео, это опенсорс проект.

Шансы не сильно выросли. Так как 100% листинг этой монеты был проведен в целях показать работу новой системы - смотрите как круто! Ведь 100% у них такими заявками завалена поддержка, а в итоге добавлена только одна монета.

В джава есть много проблем. Если в коде хотя бы небольшая уязвимость есть а она точно есть почти у любого крупного проекта где есть сотни строчек кода то можно через иньекцию просто хакнуть. Или как это обычно делают через двойные траты получить контроль. Ранее такое проделывали в других криптопроектах так что ничего не исключено.
Я конечно не говорю что тут дыра явная но почти уверен что если устроить хакатон то дыры будут найдены.
В битке уже все заделали в первые годы как только стало понятно что он хоть что то стоит.

О взломе можно рассуждать вечно. Некоторые баги уже известны давно и ждут своего времени, а другие могут появится сразу после очередного обновления.

Да плевать какой. Главное мечта заработать

В том то и дело что разжевано, но надоело постоянно пролистывать разговоры про "что такое валидатор и тому подобное" чтобы найти свежую инфу о проекте.

разве имеет значение на чем написана монета? каким образом ее вообще взломать можно?
мне так думалось что для крипты единственная уязвимость - это атака 51%

Немного не понял на счет джава. Биток на сях писан, ну и что? Баг вот недавно нашли, пропатчили и снова в бой. Концептуально, что писано на джаве более легкохакаемое чем все остальное, так что ли?

Все равно не очень понятно какой смысл от блокчейна на java. Как программист могу сказать что взлом это вопрос времени желания и мощностей. Если добавят несколько бирж и цена подрастет допустим до 10$ о которых мечтают то взломать точно найдутся желающие.

Интересно какие шансы попасть на binance у Semux , после такого вполне возможно.

Back to listing.  Ravencoin, no ICO, community project, humble people, no listing fee.
https://twitter.com/cz_binance/status/1050326256841940994