Topic: Давайте создадим с нуля биржу Open Source? - page 10. (Read 32289 times)

У меня сейчас эта проблема решается блокировками. Новый ордер выставить (и отменить) нельзя пока не закончится добавление предыдущего ордера.


Когда пользователь делает вывод, он тоже блокируется для ордеров. Когда вывод подтвердится и база обновится, блок убирается.


Яваскрипт умеет только асинхронно. Синхронизация обеспечивается блокировками.



Судя по логам, ип адрес вашего провайдера забанен гуглом. Либо поменяйте провайдера, либо одно из двух...



С утра работало.

А как дела с api? Работает?

При запуске биржи ошибка связна с почтой, по логам видно что сообщение отправилось но на почту он не пришло и в спаме его тоже нету. Также пробывал два варианта enabled и disabled в /opentrade/server/constants.js "emailVerificationEnabled".

1. Движок запускаю на VPS
2. Почту использую gmail
3. Домен добавил в Postmaster Tools

Когда ввожу в браузере *ip-vps*:40443 ошибка ERR_CONNECTION_REFUSED


Возможно кто-то ранее сталкивался с этой проблемой и может подсказать где я допустил ошибку или что-то не дописал в коде

Баланс, как я понимаю у вас хранится в БД. То есть, при постановке ордера вы достаете число, списываете с него сумму и кладете ордер в "стакан" или на исполнение со ссылкой на юзера которому ордер принадлежит, чтобы ему вернуть деньги или то что он купил? Могу ли я быстрыми запросами наполнить стакан ордерами на сумму большую, чем у меня есть на балансе? Понятие "заморозки" средств на балансе есть?

Что случится, если я одновременно (очень быстро) отправлю запрос на вывод и запрос на создание ордера? (если вы проверяете баланс до и после постановки ордера в стакан, такой финт должен неминуемо привести к одной-двум ошибкам).

Запросы в базу обрабатываются синхронно или асинхронно?
Если запросы обрабатываются синхронно, то что будет с базой если запросы генерят 200 пользователей (например ботов - ктото спрашивает свой баланс в цикле, кто-то ставит и отменяет мелкие ордера, а кто-то злой пытается вывести и ставить ордера одновременно)? Однопоточный sqlite Должен лежать не вставая.

Если запросы обрабатываются асинхронно, то что обеспечивает синхронизацию? Сериализуются ли запросы?



Логика подсказывает что баланс может запросто быть произвольно больше, меньше или равен депозиту. Депозит, например, может быть равен нулю, но баланс сколь угодно велик (я купил койн на бирже, и не заводил). И наоборот - я депозитил и все слил. Т.е. по факту депозит связан с балансом через историю транзакций и никак иначе.

Депозит это сколько завели на биржу через блокчейн.
Баланс = депозит + сколько еще купили на бирже.
Баланс вполне законно может быть больше депозита.

Интересное решение, очень удобно при переносе на другой сервер.

Ну а как решать возможность с тем что что balance (b) был намного больше чем Deposit (D) - может вообще это запретить в коде и останавливать биржу или уравнивать балансы...? где это можно сделать? в каком файле?

Историю депозитов можно удалить только удалив wallet.dat. Но если в валлете есть коины то есть нюансы.

Сейчас тестировал биржу и переключал главные торговые пары - и в балансе вышло что balance (b) был намного больше чем Deposit (D), причем CHECK не лечил эту проблему, удалил базу sqlite.db, заново зарегистрировался, тогда чек сработал, но, странно история осталась и пользователи которые были раньше в разделе check balance с ненулевыми депозитами и историей остались? Хотя зарегистрирован 1 пользователь Online: 1  (Registered: 1) - где можно эти данные удалить?

Невозможны фейковые ордера и невозможно вывести фейковую сумму.
Альтмаркетс как-то через фронтэнд взломали скорее всего.

Тогда мне не понятно как вообще возможен фейковые ордера на ложный баланс... Но в любом случае запрет на вывод крупных сумм или всего баланса это самое простое решение или запрос на вывод крупняка только после подтверждения администрацией это самое очевидное решение

Перед постановкой ордера тоже сверяется. И сразу после ордера тоже, на всякий случай )

Мне думается сверять реальный баланс нужно не только перед выводом но и перед постановкой ордера тогда не будет возможности делать фейковые ордера на огромные суммы.  
Ещё простейшая защита - запрет выводить больше например 0.1 битка в день. И т.п. ограничения - вывод крупных сумм с подтверждения администрации это решит все проблемы.

Я на 99.99% уверен, что никакой иньекции у них не было.
Но чтобы защититься от возможных иньекций, надо разделить таблицы баланса и истории по разным базам данных. Тогда иньекция в баланс ничего не сможет сделать с историей и наоборот. А эти две таблицы являются основными для проверки реального баланса пользователя перед попыткой вывода.
Я это сделаю когда руки дойдут и выложу этот патч на гитхаб.

В дискорд каналах двух бирж (https://flame.exchange/ и https://greencoin.online/) авторы в панике хотят переходить на другие варианты - Peatio и Txbits - насколько я понимаю там требования к серверам на порядок выше а также и к компетенциям.

Мне думается этот проект рано хоронить - наоборот испытания признак интереса и в них оттачивается мастерство!

Как вариант защиты мне думается что нужно каждому пользователю при заходе давать уникальный хеш и все операции проводить в зашифрованном виде - чтоб исключить добавление вручную в запрос вредоносной иньекции.

Кто-нибудь сможет это реализовать?

https://yandex.ru/search/?text=%D0%BF%D1%80%D0%B8%20%D0%B7%D0%B0%D1%85%D0%BE%D0%B4%D0%B5%20%D0%B4%D0%B0%D0%B2%D0%B0%D1%82%D1%8C%20%D1%83%D0%BD%D0%B8%D0%BA%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B9%20%D1%85%D0%B5%D1%88&clid=1955455&win=292&lr=35

Уязвимость пока никто не показал.
Есть только голые слова диванных экспертов про sql иньекции.

Так уязвимость на гитхабе закрыта или нет?

"большие" числа не так уж и велики. Int64 должно хватить даже для этереума.

Очень жаль...

Хранить балансы юзеров надо по возможности целыми числами в единицах блокчейна (применительно к BTC - сатоши, ETH - веи).
Дробей и деления, по возможности надо избегать.
JS из коробки в плане математики совсем не лучший выбор, т.к. точность вычислений с плавающей точкой у него неудовлетворительная и придется ухищряться (а это делать придется так или иначе, когда дело дойдет до снятия комисионных) https://stackoverflow.com/questions/11695618/dealing-with-float-precision-in-javascript

Для отображения балансов юзерам разумно рядом с валютой хранить decimals - т.е. кол-во сатошей в биткойне или веев в эфире.

Скорее всего у них была старая версия движка. Либо одно из двух...
Я кстати решил прекратить выкладывать новые версии на гитхаб. Так что кто будет форкать - ищите программиста который будет допиливать под ваши хотелки.