Pages:
Author

Topic: Exchange rivale di The Rock Trading [THREAD CHIUSO - si puo' rimuovere] - page 3. (Read 6140 times)

hero member
Activity: 588
Merit: 500
@FaSan
Io dico se uno si intrufola nel server con il wallet. Il classico comando dumpprivkey nei multisig come si comporta? Restituisce tutte le chiavi o solo una?
Ma non devi aver le chiavi!

Devi far si che sia l'utente e solo lui ad averla. Anche tu come gestore non hai accesso a quei BTC. Che è poi quello che fa greenaddress e infatti, sempre il protocollo, ti mette a disposizione nlocktime nel caso uno si scordi la chiave, per sicurezza.

Perchè se te la scordi\la perdi, hai perso i btc.
No no, fermo. Qui si parla di cold wallet, non degli address di deposito utente. Che cmq non è praticabile perchè i BTC sugli exchange vanno mossi (per forza di cose).

FaSan

Ok, mi ero perso la parte solo cold.

Allora è logico che le chiavi non devi averle sul server. Poi il cold può anche stare online, se non hai le chiavi li sopra ti crei la TX dove ti pare a te (magari la firmi su pc diversi, ogni pc una firma, e offline, se proprio puoi esser tranquillo) e poi la inoltri da la.

Per l'exchange invece, si potrebbe comunque usare il multisig usando più server in comunicazione tra di loro sotto ssl. In questo modo un hacker non dovebbe bucarti 1 solo server ma più di uno. La sicurezza aumenterebbe già cosi notevolmente.


PS. siamo un tantino OT però mi sa ^^'
legendary
Activity: 1092
Merit: 1021
Bene, e oltre a queste 4 cosette del tutto inutili, cosa metti tu per giustificare il tuo 51% ? nel senso dov'è che la tua figura diventa indispensabile al punto dal farmi decidere di farlo con te anzichè per conto mio (o con altri) ?



FaSan

Perfetto... non trovero' mai uno sviluppatore.

Con queste premesse no di certo Roll Eyes
hero member
Activity: 658
Merit: 502
Bene, e oltre a queste 4 cosette del tutto inutili, cosa metti tu per giustificare il tuo 51% ? nel senso dov'è che la tua figura diventa indispensabile al punto dal farmi decidere di farlo con te anzichè per conto mio (o con altri) ?



FaSan

Perfetto... non trovero' mai uno sviluppatore.


Bè ma porta pazienza.. lo sviluppatore si fà il mazzo e tu prendi il 51% ? Devi mettere qualcosa per giustificare la tua presenza no ? Quindi o assumi gente e la paghi per lavorare al tuo progetto o giustifichi la tua presenza in società con l'a pporto di qualcosa, che può essere denaro, forza lavoro, o altro che abbia come valore il 51% del progetto.



FaSan
legendary
Activity: 1778
Merit: 1043
#Free market
@FaSan
Io dico se uno si intrufola nel server con il wallet. Il classico comando dumpprivkey nei multisig come si comporta? Restituisce tutte le chiavi o solo una?
Devi lavorare in RawTX.
FaSan
Infatti come fa ad intrufolarsi in un wallet che non è online ? Si chiama appunto cold wallet, che ci fa online ?

Si ma le multi-sig mica vanno bene solo per quello cold.

Anche su quello online garantiscono massima sicurezza. Logico che non devi lasciar tutte le chiavi sul server ^^'

Si capisco, io parlava di cold wallet. Si sa che il multisig è perfetto per un coldwallet ...
legendary
Activity: 1274
Merit: 1001
"shh, he's coding..."
@FaSan
Io dico se uno si intrufola nel server con il wallet. Il classico comando dumpprivkey nei multisig come si comporta? Restituisce tutte le chiavi o solo una?


Devi lavorare in RawTX.



FaSan

Infatti come fa ad intrufolarsi in un wallet che non è online ? Si chiama appunto cold wallet, che ci fa online ?

No ma infatti secondo me il coldwallet è inattaccabile. Almeno che non scrivi da qualche parte ben in vista la chiave privata.

Io mi riferisco agli hot wallet
hero member
Activity: 588
Merit: 500
@FaSan
Io dico se uno si intrufola nel server con il wallet. Il classico comando dumpprivkey nei multisig come si comporta? Restituisce tutte le chiavi o solo una?
Devi lavorare in RawTX.
FaSan
Infatti come fa ad intrufolarsi in un wallet che non è online ? Si chiama appunto cold wallet, che ci fa online ?

Si ma le multi-sig mica vanno bene solo per quello cold.

Anche su quello online garantiscono massima sicurezza. Logico che non devi lasciar tutte le chiavi sul server ^^'
hero member
Activity: 658
Merit: 502
@FaSan
Io dico se uno si intrufola nel server con il wallet. Il classico comando dumpprivkey nei multisig come si comporta? Restituisce tutte le chiavi o solo una?

Ma non devi aver le chiavi!

Devi far si che sia l'utente e solo lui ad averla. Anche tu come gestore non hai accesso a quei BTC. Che è poi quello che fa greenaddress e infatti, sempre il protocollo, ti mette a disposizione nlocktime nel caso uno si scordi la chiave, per sicurezza.

Perchè se te la scordi\la perdi, hai perso i btc.


No no, fermo. Qui si parla di cold wallet, non degli address di deposito utente. Che cmq non è praticabile perchè i BTC sugli exchange vanno mossi (per forza di cose).



FaSan
legendary
Activity: 1274
Merit: 1001
"shh, he's coding..."
@FaSan
Io dico se uno si intrufola nel server con il wallet. Il classico comando dumpprivkey nei multisig come si comporta? Restituisce tutte le chiavi o solo una?


Devi lavorare in RawTX.



FaSan

No allora mi spiace, confermo che non ne so una sega di multisig, prima mi informo poi ne riparleremo.

Così a occhio però pare un tantinello più complicamento (forse è per questo che non tutti gli exchange ancora lo utilizzano)
member
Activity: 154
Merit: 10
Bene, e oltre a queste 4 cosette del tutto inutili, cosa metti tu per giustificare il tuo 51% ? nel senso dov'è che la tua figura diventa indispensabile al punto dal farmi decidere di farlo con te anzichè per conto mio (o con altri) ?



FaSan

Perfetto... non trovero' mai uno sviluppatore.
legendary
Activity: 1778
Merit: 1043
#Free market
@FaSan
Io dico se uno si intrufola nel server con il wallet. Il classico comando dumpprivkey nei multisig come si comporta? Restituisce tutte le chiavi o solo una?


Devi lavorare in RawTX.



FaSan

Infatti come fa ad intrufolarsi in un wallet che non è online ? Si chiama appunto cold wallet, che ci fa online ?
hero member
Activity: 588
Merit: 500
@FaSan
Io dico se uno si intrufola nel server con il wallet. Il classico comando dumpprivkey nei multisig come si comporta? Restituisce tutte le chiavi o solo una?

Ma non devi aver le chiavi!

Devi far si che sia l'utente e solo lui ad averla. Anche tu come gestore non hai accesso a quei BTC. Che è poi quello che fa greenaddress e infatti, sempre il protocollo, ti mette a disposizione nlocktime nel caso uno si scordi la chiave, per sicurezza.

Perchè se te la scordi\la perdi, hai perso i btc.
hero member
Activity: 658
Merit: 502
@FaSan
Io dico se uno si intrufola nel server con il wallet. Il classico comando dumpprivkey nei multisig come si comporta? Restituisce tutte le chiavi o solo una?


Devi lavorare in RawTX.



FaSan
hero member
Activity: 658
Merit: 502
Si sviluppa per 6 mesi e poi si dividono i guadagni a 51 / 49 %.

Come ti mantieni per quei 6 mesi sono problemi tuoi io metto a disposizione un ufficio, connessione internet a 20Mb e caffe' in location da confermare appena ho scelto la persona da "prendere". Ad ogni modo la location e' in Italia al Nord.

Grazie.


Bene, e oltre a queste 4 cosette del tutto inutili, cosa metti tu per giustificare il tuo 51% ? nel senso dov'è che la tua figura diventa indispensabile al punto dal farmi decidere di farlo con te anzichè per conto mio (o con altri) ?



FaSan
hero member
Activity: 588
Merit: 500
L'intermediario comunque in generale serve "solo" in caso di disputa, il vantaggio è che se si è onesti ma soltando sfiduciosi l'un l'latro, si può fare comunque tutto da soli.
Vero.
@redsn0w
Per tornare al discorso dei furti dai cold wallet. Chi ha il multisig dove vengono depositati transitoriamente i BTC, teoriacamente ha anche tutte le chiavi quindi può sempre sparire col bottino se non erro
Si , però se scappa via con il bottino e tutti erano a conoscenza che il cold wallet usava un address multisig... la vedo dura spiegare a tutti gli utenti come diamine il malintenzionato ha rubato i bitcoin. Quindi la colpa sarebbe al 99% del exchange stesso.
Se qualcuno si intrufola nel server, che sia multisig o meno credo che il danno ormai sia fatto. Quindi forse il 99% credo sia un po' altino.

Insomma....

Se io mi intrufolo nel server dove hai bitcoind in exec, con 1 comando (send) te lo svuoto.

Il multisig invece, lato server, è supportato solo come rawtransaction. Non lo firma in automatico, ma in ogni caso, non ha la chiave.

Se poi tu nel server tieni in "chiaro" tutte le chiavi private che ti servono per firmare la TX è un tantino diverso... ma in genere si evita facendo in modo che una chiave è generata proprio dalla mnemonica in real time.
Solo la seconda sta sul server pronta per esser letta.

In questo modo... sei un utente, hai accesso ai tuoi BTC (puoi creare doppia firma). Sei un ladro, prendi il wallet ma ti manca una firma, che non è conservata da nessuna parte.
legendary
Activity: 1778
Merit: 1043
#Free market
L'intermediario comunque in generale serve "solo" in caso di disputa, il vantaggio è che se si è onesti ma soltando sfiduciosi l'un l'latro, si può fare comunque tutto da soli.

Vero.

@redsn0w
Per tornare al discorso dei furti dai cold wallet. Chi ha il multisig dove vengono depositati transitoriamente i BTC, teoriacamente ha anche tutte le chiavi quindi può sempre sparire col bottino se non erro

Si , però se scappa via con il bottino e tutti erano a conoscenza che il cold wallet usava un address multisig... la vedo dura spiegare a tutti gli utenti come diamine il malintenzionato ha rubato i bitcoin. Quindi la colpa sarebbe al 99% del exchange stesso.

Se qualcuno si intrufola nel server, che sia multisig o meno credo che il danno ormai sia fatto. Quindi forse il 99% credo sia un po' altino.

@FaSan
Per le fiat non ci siamo secondo me. Ma per gli exchange di altcoin forse ci possiamo studiare qualcosa... Smiley

Non tutte le chiavi devono essere sullo stesso "pc", se no che senso avrebbe il multisig ? Ogni chiave andrebbe "delocalizzata" su un'altra macchina.
legendary
Activity: 1274
Merit: 1001
"shh, he's coding..."
@FaSan
Io dico se uno si intrufola nel server con il wallet. Il classico comando dumpprivkey nei multisig come si comporta? Restituisce tutte le chiavi o solo una?
hero member
Activity: 658
Merit: 502
E fin qua ci siamo.
Ora, tu mi stai sulle "palle" e ti voglio fare un danno. Ti vendo 10 BTC a 200€.

Prendo i 10BTC, li mando a multisig.
Tu prendi 2000€, me li mandi.

Tu segni come pagamento partito.
Io venditore segno come pagamento mai arrivato.

Siamo in contestazione, non c'è accordo tra i due, e io farò in modo che non ci sarà mai. I Btc sono bloccati in eterno.

Benissimo, io tanto in realtà ho ricevuto 2000€ e venduto 10BTC, come venditore sono "soddisfatto".
Tu cliente, hai speso 2000€ e non hai ricevuto nulla, dubito tu sia molto contento.

Quindi uno dei due ha avuto un danno (e solo 1) per il puro scopo di farlo... Poi si magari io perdo reputazione come venditore e fronzoli vari, ma tu perdi 2000€.
Per cui si torna al principio che devi fidarti di chi te li vende, e rimarrebbe più sicura una vendita con escrow umano che controlla.


Ma questo può succedere comunque, anche in una transazione tra due persone su localbitcoins o nei vari threads di vendita. Se ti voglio fare un danno te lo faccio comunque. Ma chi manda un pagamento FIAT ha i tuoi dati e tutto il diritto/dovere di denunciarti.



FaSan

member
Activity: 154
Merit: 10
Quindi, per intenderci, tu non vuoi lavorare a gratis per altri perchè saresti dipendente, ma vuoi esser "titolare" del progetto e non pagare chi lavora per te?

Perchè se lo facessi come dipendente, potresti lavorare per altri.

Spiegami, non ho capito.. lo scopo del thread è quindi quello di dire: "Cerco qualcuno che lavori per me 6 mesi, senza vedere il becco di  un BTC, e poi il titolare sarei io, lui è dipendente... ma ha contribuito al bene del bitcoin facendo un nuovo exchange di cui non se ne sente il bisogno, se non tuo personale per guadagnare qualcosa?"

Il codice per l'exchange ce l'ho gia' mi seriverbbe un altro sviluppatore, meglio se altri due, per "brandizzare il codice" e fare il supporto una volta che l'Exchange andra' live.

Si sviluppa per 6 mesi e poi si dividono i guadagni a 51 / 49 %.

Come ti mantieni per quei 6 mesi sono problemi tuoi io metto a disposizione un ufficio, connessione internet a 20Mb e caffe' in location da confermare appena ho scelto la persona da "prendere". Ad ogni modo la location e' in Italia al Nord.

Grazie.
hero member
Activity: 658
Merit: 502
L'intermediario comunque in generale serve "solo" in caso di disputa, il vantaggio è che se si è onesti ma soltando sfiduciosi l'un l'latro, si può fare comunque tutto da soli.

Vero.

@redsn0w
Per tornare al discorso dei furti dai cold wallet. Chi ha il multisig dove vengono depositati transitoriamente i BTC, teoriacamente ha anche tutte le chiavi quindi può sempre sparire col bottino se non erro

Si , però se scappa via con il bottino e tutti erano a conoscenza che il cold wallet usava un address multisig... la vedo dura spiegare a tutti gli utenti come diamine il malintenzionato ha rubato i bitcoin. Quindi la colpa sarebbe al 99% del exchange stesso.

Se qualcuno si intrufola nel server, che sia multisig o meno credo che il danno ormai sia fatto. Quindi forse il 99% credo sia un po' altino.

@FaSan
Per le fiat non ci siamo secondo me. Ma per gli exchange di altcoin forse ci possiamo studiare qualcosa... Smiley


Bè ma no, è chiaro che le chiavi non le tieni insieme sullo stesso server, su...

Per il p2p io sono daccordo con te, e l'ho già scritto in altri thread, ma solo per quanto riguarda il discorso privacy. Per il resto la ritengo fattibilissima.



FaSan
hero member
Activity: 588
Merit: 500
Di per se anche solo il fatto di esser stronzi.... E saper che tu mi hai mandato i soldi ma io non ti darò mai i btc, quindi ti ho recato danno.
ti dico come la vedo io :

Venditore sposta BTC su multisig
Cliente effettua il pagamento.

Pagamento arrivato ?
  --> SI -> sblocco dei BTC verso il cliente
  --> NO -> dopo X tempo sblocco dei BTC verso il venditore
  --> Venditore sparito -> dopo X tempo sblocco verso cliente
  --> Cliente sparito -> dopo x tempo sblocco verso venditore
  --> Contestazione (Venditore conferma di non aver ricevuto, Cliente conferma pagamento), blocco dei BTC in eterno fino ad accordo tra i due
FaSan

E fin qua ci siamo.
Ora, tu mi stai sulle "palle" e ti voglio fare un danno. Ti vendo 10 BTC a 200€.

Prendo i 10BTC, li mando a multisig.
Tu prendi 2000€, me li mandi.

Tu segni come pagamento partito.
Io venditore segno come pagamento mai arrivato.

Siamo in contestazione, non c'è accordo tra i due, e io farò in modo che non ci sarà mai. I Btc sono bloccati in eterno.

Benissimo, io tanto in realtà ho ricevuto 2000€ e venduto 10BTC, come venditore sono "soddisfatto".
Tu cliente, hai speso 2000€ e non hai ricevuto nulla, dubito tu sia molto contento.

Quindi uno dei due ha avuto un danno (e solo 1) per il puro scopo di farlo... Poi si magari io perdo reputazione come venditore e fronzoli vari, ma tu perdi 2000€.
Per cui si torna al principio che devi fidarti di chi te li vende, e rimarrebbe più sicura una vendita con escrow umano che controlla.
Pages:
Jump to: