Topic: Приём Bitcoin на своём сайте (Read 6139 times)

Я ознакомился с разделам для разработчиков, но ничего не понял. Есть ли проще и подробнее. К примеру: я искал скрипт курса биткоин на сайт и нашёл уйму всякого барахла типа сырых примеров или ограничились простым виджетом в виде картинки, а я искал то что можно подключить данные к сайту и при нажатии на кнопку, отправлялось значение курса в базу и высвечивалось в данных статистике на сайте и при этом с обновлением курса значение не менялось вот это чудо


Теперь мне нужно готовый вариант подключения к сайту вашего api для пополнения т.е страница обработчик и подкл реквизитов похожего на этот код


Только что бы всё от начала до конца.

Если вам нужно производить выплаты клиентам, то потребуется чек (redeem code).
По сути, это обычный биткоин кошелек, к которому можно обращаться по АПИ и делать с него массовые выплаты. У него так же есть биткоин адрес и все функции кошелька: принять и отправить платёж, получить баланс, получить список транзакций.
Создать чек https://bitaps.com/ru/api#Create_Redeem_Code
Узнать баланс: https://bitaps.com/ru/api#Get_Redeem_Code_information

К примеру: у вас игровой проект.

Вы создаёте редим код и все получаемые платежи вы направляете на него. А когда вам нужно выплатить биткоины победителю, вы делаете запрос на выплату: https://bitaps.com/ru/api#Sending_Bitcoins

Если вам нужно выплатить сразу нескольким игрокам (до 250 получателей), то нужно подготовить список всех биткоин адресов всех получателей и суммы, а затем отправить запрос по инструкции https://bitaps.com/ru/api#Mass_payments

Добрый день.

Если у вас уже есть Биткоин кошелек и вы хотите принимать на него платежи, то это работает следующим образом:


1) Клиент заходит на страницу вашего магазина, выбирает нужные товары и услуги. Далее переходит к оплате.
2) Магазин делает API запрос, в котором отправляет: ваш адрес Биткоин кошелька (владельца магазина) payout_address и URL адрес страницы на вашем сайте, которая в дальнейшем получит сообщение об оплате (callback). Подробнее https://bitaps.com/ru/api#Create_payment_address
3) Наш API сервер возвращает магазину новый сгенерированный Биткоин адрес и номер счета.
4) Магазин передает этот адрес покупателю для оплаты.

Главная задача в обработке Биткоин платежей - это сгенерировать и мониторить уникальный адрес для каждой оплаты. Ведь клиент может оплатить не сразу или на текущий момент блокчейн сеть может быть перегружена.


1) Клиент отправляет Биткоины на указанный адрес
2) API сервер мониторит появление оплаты
3) API сервер делает об этом уведомления магазину
4) После необходимых подтверждений в сети, Биткоины пересылаются на адрес владельца магазина (на ваш кошелек)
5) Магазин выдает товар покупателю


При появлении неподтвержденной транзакции в сети, API сервер сделает первый отстук на страницу магазина. Магазин пока не должен отдавать товар, необходимо дождаться минимум три подтверждения. Это гарантирует оплату полностью. По умолчанию, сервер будет каждый раз делать отстук магазину, пока не наступит третье подтверждение транзакции в сети.
В ответ на этот запрос, магазин должен отвечать полученным ранее номером счёта в виде текста. Подробнее это описано здесь https://bitaps.com/ru/api#Processing_the_callback

Как только платеж подтвержден Блокчейн сетью, API сервер перечисляет Биткоины на указанный адрес владельца магазина.

Вы можете создавать новый адрес для оплаты или использовать один и тот же адрес под каждого клиента постоянно. Это часто используется если нужно постоянно пополнять разными суммами один и тот же счет, как например, пополнение баланса в онлайн играх.

Привет.
Читаю ваши доки и мне не совсем понятен раздел Прием Платежей. Вы пишите:

Главная задача в обработке Биткоин платежей это сгенерировать и мониторить уникальный адрес для каждого клиента или счёта. Как только платёж подтверждён сетью, сервер API перечисляет биткоины на указанный адрес продавца. Это может быть личный кошелек, хранилище или адрес биржи для последующего обмена в физическую валюту.

Значит ли это, что я должен сам генерить в коде свой уникальный адрес? Или же тупо брать адрес из личного кошелька или адреса биржи? Или вы сами генерите для меня как продавца уникальный адрес, на который можно принять платеж от покупателя?

И второй вопрос. А что такое redeem. Это приватный закрытый ключ, который я должен хранить на бумажке или в БД?

Вот неплохо бы вам свой блог завести, где бы вы на пальцах разъясняли начинающим кодерам в примерах, что именно в БД хранить и как именно начать пользоваться вашим процессингом. Так как я вкурить не могу, с чего именно браться в первую очередь. С создания кошелька? Или redeem -a?

Если есть какие то пожелания или идеи для процессинга, пишите на почту или здесь на форуме. С удовольствием обсудим и создадим вместе.

Как раз сейчас делаем конструктор для кнопок и форм. В ближайшее время опубликуем и я вам напишу.
Сейчас можем помочь с подключением и подсказать как лучше это сделать, пишите в скайп или на почту [email protected].

Здравствуйте, хотелось бы больше простых инструкций по подключению сервиса. А также генерируемых онлайн кнопок.

Уважаемый AxyeH4uK, вопрос доверия всегда сложный, по хорошему доверять свои BTC никому не следует.
Мы рекомендуем вам хранить свои BTC только на полностью подконтрольных вам кошельках. Наши сервисы рекомендуем использовать в качестве горячих кошельков, а основную часть всегда направлять в холодное хранилище. Среди доступных функций нашего процессинга реализованы алгоритмы распределения между горячим и холодным кошельком по заданным правилам.

https://bitaps.com/api/#Create_smartcontract_hot_wallet

Доверия таким сервисам как наш, это примерно тоже самое, что доверие бирже btc-e или exmo.

Мы работаем честно, и создавали сервис не для того чтобы кого то кинуть. Мы запустились в июне 2016 года, уже обработано около 24 000 транзакций клиентов, пока у нас нет такой репутации как у btc-e к примеру, так как мы слишком мало работаем еще. Но со временем наработаем репутацию.

Онлайн-кошельки бывают разные.
Как минимум есть три разновидности.
1) Банк. Это кошельки типа Coinbase, Xapo и так далее. Приватные ключи у них, у вас только
вера в то, что вас не кинут. На самом деле - это, пожалуй, наиболее надежные из имеющихся кошельков
2) Не знаю как назвать этот тип, но кошелек типа blockchain.info. В штатном режиме работы у них нет
возможности вас кинуть, потому что ваши приватные ключи им неизвестны. Там сложная криптография,
не буду в подробности вдаваться. Но кинуть могут, потому что отключить эту криптографию они тоже
могут.
3) Онлайн-кошельки как раз и созданные для того чтобы в один прекрасный момент кинуть

Так и есть, хотя биткойнеры при таком сравнении с банками начинают мелко трястить и брызгать слюнями.

Ничем.
К папе с мамой, что не научили в детстве отличать говно от шоколада.
Организация объединенных наций и Спортлото

Господа, прошу не обращать внимания на мой ник...все нормальные, которые я вводилпри регистрации были заняты...
У меня вопрос относительно гарантий онлайн-кошельков, в частности: чем онлайн-кошельки гарантируют, что они в один прекрасный, солнечный день, не свернут свою деятельность, прихватив с собой все BTC накопившиеся на кошельках лохов, доверившихся им?
Вот например, от мошенничества со стороны банков нас более-менее защищает государство и центробанки. Да они не могут защитить от банкротства банка, но от того, что банк возьмет и переведет все бабло на анонимный счет в оффшоре - защищает, а риск потери бабла от банкротства банка нивелирован гос.гарантиями по возврату вкладов. Ну и надо понимать, что для того, чтобы официально стать банком, надо нормально вложить бабла в УФ.
Чем же подкрепляют свою честность перед пользователями онлайн-кошельки? К кому мне, в случае чего, предъявлять претензии? Кто мне гарантирует возврат BTC?

В данный момент у нас публично пока нет такого функционала, но в разработке сейчас версия с библиотекой для клиента которая умеет подписывать транзакции.


Мы берем на себя всю работу с блокчейном, blockchian as service по сути.  Не все готовы ставить себе  bitcoind, заводить под это отдельный сервак и разбираться с этим. Никого как говориться не заставляем и не навязываем, кому будет интересно тот будет среди наших клиентов.

ах, простите.
я неправильно понял вот это:
Право же, подписывание транзакции вручную - это такое геморное для юзера мероприятие,
что я даже и не думал в эту сторону.
Тут ведь все как в обычной жизни (это я не для вас, вы и так это понимаете, а для наших
читателей). Подпись на документ человек ставит когда ознакомился с содержанием документа
и принимает на себя все условия, риски и ответственность. То есть если человек умеет
"читать биткойн-транзакцию" не очень понятно зачем ему использовать ваш сервис. Он
и без него справится. Если же он "подписывает не глядя" - он сам себе злобный буратина.

В любом случае, для подписи нужна локально установленная программа.
Если это один из известных биткойн-валлетов - опять же встает вопрос зачем юзеру ваш сервис.
Если для подписи используется ваша программа - то... Ну сами понимаете...

Я вел речь конкретно о нашем процессинге. У нас пока нет публичного кошелька. Так как тут обсуждается наш процессинг.

Ну вот. А чуть выше вы сказали, что "Гарантию сохранности, если речь идёт о процессинге
очень больших сумм, легко решает криптография." А что оказалось? Что вся мощь
криптографии бессильна, если поставить закладку в ГПСЧ. А закладка там в 10 строк
кода уместится. Выходит, что всё что гарантирует пользовательские средства это
боязнь программиста получить пиздюлей от босса. А вы говорите "криптография".
(Частный случай когда программист и босс в одном лице можно не рассматривать)

На дополнительный вопрос вы ответили. Так что зачет без вопросов.

Окей. Если хотите дальше двигаться в этом направлении. Факультатив по математике.
На зимние каникулы.

Лабораторная практическая работа: найти на гитхабе сорцы bc.i за декабрь 2014 года,
найти в них ошибку, воссоздать генератор случайных чисел с багом, сгенерировать
последовательность таких 'K' которые генерировал бажный генератор.

А, вот хороший вопрос. Сам до него допёр только после ряда подсказок.
Если публичный ключ получается из приватного ключа "умножением на базовую точку на
эллиптической кривой" - то как друг с другом соотносятся 'K' и 'R' (где 'R' - это первая
часть подписи)

Могу, но ломает меня сорцы свои копать. Лабораторная работа как раз и даст
вам массив скомпроментированных K, блокчейн даст вам PUB, R, S. Дайджест транзакции
(который чаще всего называют Z) вычислить несложно. Остальное дело техники.

Стоп. Я про другое. Мы обсуждали, что все веб-валлеты устроены примерно одинаково -
приватные ключи хранятся у пользователя на компе. Сервер отдает неподписанную
транзакцию, клиент в браузере её подписывает и подписанную отправляет на сервер.
Где и как тут фигурирует secp256k1 из коры? Это вообще ведь сишная либа.
Я про то опять намекаю, что вставить закладку в жава-скрипт - дело пяти минут.
И вся крипрография идет лесом.


Ловите.
https://blockchain.info/tx/7a366aed20b0b80aa643311b5f704624ddf4584a452afeed8d7ae69e16da5c50
(шутка. киргуду)

Может быть я вас не так понял. Было навеяно вашими высказываниями в соседнем топике, где вы намекали человеку что у него в школе была плохая оценка по математике.


Если вы имеете ввиду то, что скомпрометирован приватный ключ может быть еще и в том случае когда при подписи известно число К  из которого потом получается число R. И в случае если рандомный генератор слабый и мы можем предсказать значение числа К. То этот момент я знаю, на этом базируются атаки  скрытого канала, когда в  ГПСЧ так скажем есть закладка.

Если есть что то еще. Давайте как на экзамене пару наводящих

 

Давайте предметно поговорим. Вот адрес 1JLiqe4sbD2Qfj1cnmaPDiaxAjQTVBXaMk он был скомпрометирован при том инциденте в 2014.
Можете показать в блокчейне подпись/подписи  которые скомпрометировали его?

Если я что то не знаю, то буду благодарен вам если вы восполните мой пробел в знаниях.


Ну во первых, у нас нет инвесторов, владельцев и акционеров,  я являюсь основателем данного сервиса.
То что мы поймаем Кита, я считаю что это уже хорошо, будем работать над тем чтобы мальков зацепить.


В данном вопросе мы для работы с secp256k1 используем модуль из bitcoin core, который в свою очередь использует RFC6979. 

То что касается квантовых компьютеров это обсуждать пока нет смысла, когда они появятся тогда будем думать.


Если будут не нужные битки то можете отправить их в качестве донешн для развития нашего проекта. Мы будем дальше развивать этот "МММ" 

Вам со стороны, конечно, виднее. Но поверьте - у меня нет желания "самоутвердиться".
А есть желание показать другим, что они ошибаются. Причем не только
ошибаются сами, но и вводят других в заблуждение.


Верно. Но... У меня подозрение, что ответ неполный и будь мы на экзамене по криптографии,
я бы задал пару наводящих вопросов. Но мы не на экзамене, да?   Вам мой менторский тон
не по нутру.

Да, мои подозрения подтвердились. Вы знаете только половину ответа на вопрос.
В некотором смысле это еще хуже. Одно дело когда человек говорит "я не знаю",
а совсем другое, когда человек думает что он знает, а на самом деле нет.

Ваш список неполный. Из этого я делаю вывод, что вы не до конца понимаете как работает
ECDSA-подпись и где надо искать зарытую собаку. Если вы не знаете где её искать - может
быть она уже зарыта под вашей калиткой. И просто ждет своего часа.

Не придумывайте сказки. Все там есть. Плохо ищете.

Тут вот какое дело. Для пиар-релиза и отчетов перед вашими инвесторами, владельцами, акционерами
и прочими начальниками этот абзац сойдет. А для меня нет. Потому что определить качество генератора
рандома по его выходным данным и сказать "вот этот генератор криптосекурный, а вот этот - нестойкий"
невозможно. По сути дела ваш мониторинг - это рыболовная сеть с ячейкой 5 метров. Кита вы поймаете,
а все что по размерам меньше - уйдет.

Но и даже это не главное.

Проблема в том, что даже если
1) ключ находится на компьютере у пользователя и никуда с него не уходит
2) если с комьютера пользователя сервер получает только подписанную транзакцию и больше ничего
3) если вы ставите сколь угодно сложные мониторинги
... то и в этом случае возможна компроментация пользовательского приватного ключа если
программист намеренно или случайно сделает ошибку в подписывающем коде.

Вопрос на засыпку: RFC 6979 применяете? Объяснить на пальцах сможете?
(мне не надо объяснять - достаточно "да" или "нет")

Условно говоря, чтобы определить не представляет ли сам ваш сервис угрозы
моим средствам, мне надо каждый раз перед подписанием любой транзакции проверять
исходный код. Каждый раз, Карл! Не, ну можно конечно 1 раз проверить, а потом сравнивать
и если в код не вносились правки - он по-прежнему чист. Но никто в здравом
уме не будет это проверять.
 
Это тоже лучше инвесторам адресовать. Я на это не ведусь. Квантовых компьютеров нет.
И (на мой взгляд, потому что доказать я это не могу) не будет. Впрочем доказать,
что они "могут существовать" вы тоже не сможете пока не предъявите работающий
вариант, а не "эмулятор на транзисторной логике"

(недоуменно в сторону) Зачем мне они? Я тут три года пытаюсь дать понять,
что битки мало чем отличаются от акций МММ, а мне желают их побольше  

Уважаемый amaclin, давайте выслушаем что вы можете нам рассказать?

Во первых не очень нравиться ваш тон общения с участникам на форуме, такой ощущение, что  вы пытаетесь показать, что вы много знаете и этим самоутвердиться а других как-то принизить.

Итак теперь по делу. 


Знаем.

bc.i == blockchain.info уточним  это для того, чтобы всем было понятно о чем идет речь

 И так в декабре 2014 года blockchain.info  попался на том, из-за ошибки в их софте при формировании подписи рандомное число было вовсе не рандомным и к тому же еще и повторялось. То есть вместо того чтобы сгенерировать рандомное число генератор случайных чисел отдавал всегда одинаковое значение. Не будем вдаваться в технические подробности, но такая ситуацию когда для 1 адреса в 2 подписях используется одинаковое число K приводит к тому, что любой наблюдатель имея 2 таких подписи может вычислить приватный ключ.

Попался на этом не только blockchain.info, в 2013 из-за проблем генератором случайных чисел в андройде пострадали также и мобильные кошельки.  2015 год тоже был весьма урожайным.

 Мы проводили сканирование блокчейна, и собрали все что там лежит скомпрометированное, выложил за ноябрь список здесь https://bitaps.com/compromised

В этом списке нет всех скомпрометированных адресов с 2014, на сколько я понял, это связанно с тем, что в тот момент те кто совершил  атаки сканили все транзакции в реальном времени и сразу создавали двойную трату. По этой причине те транзакции которые скомпрометировали адреса не попали в блокчейн.

Мы запустили мониторинг данной проблемы в реальном времени и видим всю ситуацию сразу, все транзакции нашего процессинга проверяются на лету, еще до того как мы их начинаем отправлять в сеть. Соответсвенно мы можем гарантировать защиту от данной проблемы для наших клиентов, тем что мы просто не выпустим в сеть транзакцию которая скомпрометирует приватный ключ.



Так какие сказки мы тут рассказываем?
 Мы постоянно работаем над нашим сервисом и реагируем на возникающие угрозы. То что вы нас пытаетесь ткнуть носом в общеизвестную уязвимость и говорите что мы на нее попадемся, это не так.

Так же скоро грядет эра квантовых вычислений которая тоже принесет много сюрпризов для эллиптической кривой.

Так же мы в курсе про атаки скрытого канала, и если параноить по полной то и хардверным кошелькам доверять никак нельзя если его код не прошел аудит и ты лично его не скомпилил для своего девайса.

Если у вас есть что расказать нового, чего мы не знаем, как мы можем улучшить наш сервис мы с радостью вас выслушаем.

С наступающим новым годом вас, побольше битков вам в 2017 году  

На чем погорел bc.i в начале декабря 2014 года знаете?
Или мне рассказать вам? Чтобы в следующий раз про гарантию сохранности вы сказки
не рассказывали. Потом претензии предъявлять кому? Я так себе и представил:
"... слушается дело: Вася Пупкин против эллиптической кривой... "

Гарантию сохранности, если речь идёт о процессинге очень больших сумм, легко решает криптография.
Мультиподпись из нескольких ключей или подпись транзакции самим интернет магазином. Т.е. у вас хранятся ключи, мы собираем выходы и отдаём вам сырую транзакцию, вы подписываете, а мы её броадкастим в сеть. 

Так же мы можем написать для вас индивидуальное платёжное приложение.