Pages:
Author

Topic: Давайте создадим с нуля биржу Open Source? - page 2. (Read 32289 times)

copper member
Activity: 1554
Merit: 489
Stop the war!
закинул на эту биржу догов, потом не смог их вытянуть обратно(300 уе), писал в саппорт , но там промычали чтото нечленораздельное, забил на неудах
Пруфы?
full member
Activity: 1498
Merit: 133
закинул на эту биржу догов, потом не смог их вытянуть обратно(300 уе), писал в саппорт , но там промычали чтото нечленораздельное, забил на неудах
newbie
Activity: 3
Merit: 1
Quote
Как монетизировать собственную криптовалютную биржу?
Вот уж действительно - любопытный вопрос Grin Grin Grin

Звучит странно, да... но на первый взгляд. Ведь тут не "давайте сделаем ещё одну биржу", а всё же про некоторый опенсорс. Так то код это хорошо, но вот деньги принесут туда где уже много денег, что популярно и на слуху, где есть объем, ну и, возможно, какие-то новые интересные фичи.
А код это другое, написать хороший движок биржи вообще достаточно далеко от раскрутить просто ещё одну биржу. Потому здесь не "монетизировать собственную криптовалютную биржу", а сам код.
Есть пример с библиотекой ccxt, там огромное количество интеграций и всё бесплатно. Но http api. Хочешь webSocket - плати подписку. Но вот в случае с биржей - уже не очевидно, ведь людям не нужно много бирж - нужны объемы, стабильность, кому-то анонимность, кому-то автоматические стоп-лоссы, но в целом, худо бедно, топовые биржи уже справляются, и CEX и DEX, а если хочется плюшек - есть всякие 3commas с ботами и прочие ребята.

Потому вопрос всё ещё актуален - а как монетизировать опен-сорс код биржи?

Quote
Критикуя предлагай.

Ну как минимум убрать огромное количество закомментированного кода, переписать с процедур на ООП или ФП, взять энтерпрайзный фреймворк типа NestJS, ну и всё же у нас биржа - не хочется продолбаться на типах данных, а значит TypeScript и входную валидацию данных с конвертацией типов по жестким схемам. И уровень проекта резко вырастет.
copper member
Activity: 1554
Merit: 489
Stop the war!
Глянул код, к сожалению, выглядит он очень грустно.
Критикуя предлагай.
Покажи свой проект на гитхабе, который набрал хотя бы сотню форков.

Однако любопытен вопрос - если вот такое вот, но на более актуально стеке ноды, производительное и эффективное - а как оное возможно монетизировать?
Как монетизировать собственную криптовалютную биржу?
Вот уж действительно - любопытный вопрос Grin Grin Grin
newbie
Activity: 3
Merit: 1
Глянул код, к сожалению, выглядит он очень грустно. Вообще я бы может и вписался бы во что-то подобное, но тут как-то печально.
Однако любопытен вопрос - если вот такое вот, но на более актуально стеке ноды, производительное и эффективное - а как оное возможно монетизировать?
kzv
legendary
Activity: 1722
Merit: 1285
OpenTrade - Open Source Cryptocurrency Exchange


ЗЫ А вообще очень классный проект, с учетом что как говорится "в одно рыло",  было бы многим интересно услышать основные грабли на которые наступили походу, на подобии тех с генератором адресов, как Вас хакали, как оборонялись и тп. На хабре можно было бы это запостить, было бы вдохновляющие,  так как биржа посерьёзнее проект сосцети(смотря какой конечно), как для одного чела это очень круто. Код закрыт, думаю публикация уже найденных уязвимостей и ошибкок на пути, не навредят, но будет другим очень интересно, а Вам реклама))

Год назад перестало здесь дальше обсуждаться.

Почему, интересно?  Знает кто.

После того, как оплата картами европейских серверов стала недоступна, биржу перенес на другой сервер и сейчас она работает в минимальном демонстрационном режиме. Сервер слабый, поэтому большинство модулей отключено.
Сообщества разработчиков биржи создать не получилось. Дальнейшая разработка "в одну каску" меня интересовать перестала из-за экономической нецелесообразности. Сейчас занят другими проектами в качестве разработчика на зарплате.
legendary
Activity: 3262
Merit: 3675
Top Crypto Casino


Почему, интересно?  Знает кто.


Вы можете задать свой вопрос непосредственно в чате на бирже:



Но судя по "No data available in table" и нулевой активности нас форуме marycoin, то проект как минимум стоит на паузе. Монета проекта походу тоже сдохла.
jr. member
Activity: 131
Merit: 4


ЗЫ А вообще очень классный проект, с учетом что как говорится "в одно рыло",  было бы многим интересно услышать основные грабли на которые наступили походу, на подобии тех с генератором адресов, как Вас хакали, как оборонялись и тп. На хабре можно было бы это запостить, было бы вдохновляющие,  так как биржа посерьёзнее проект сосцети(смотря какой конечно), как для одного чела это очень круто. Код закрыт, думаю публикация уже найденных уязвимостей и ошибкок на пути, не навредят, но будет другим очень интересно, а Вам реклама))

Год назад перестало здесь дальше обсуждаться.

Почему, интересно?  Знает кто.
gov
member
Activity: 196
Merit: 40

Quote
в строке запроса пулять всякие секреты вроде как не рекомендуется, хацкеры могут потибзить, лучше в теле запроса джисоном, там оно шифруется, а строка запроса нет
Строка запроса тоже шифруется ибо там в начале кто-то написал "https://"


Вы правы оказывается, но всё же это не очень хорошая практика сейчас, вот почитайте:

Quote
https://stackoverflow.com/questions/893959/if-you-use-https-will-your-url-params-will-be-safe-from-sniffing

 So yes. The data contained in the URL query on an HTTPS connection is encrypted. However it is very poor practice to include such sensitive data as a password in a 'GET' request. While it cannot be intercepted, the data would be logged in plaintext server logs on the receiving HTTPS server, and quite possibly also in browser history. It is probably also available to browser plugins and possibly even other applications on the client computer. At most a HTTPS URL could be reasonably allowed to include a session ID or similar non-reusable variable. It should NEVER contain static authentication tokens.


В битрексе в первой версии действительно были геты на действия с апиключами в параметрах, это видимо естественный эволюционный путь, но в текущей(вроде 3й) там уже посты с джисоным телом и подписью ключом, без самого ключа, хотя бы для психологического умиротворения  клиентов)))



ЗЫ А вообще очень классный проект, с учетом что как говорится "в одно рыло",  было бы многим интересно услышать основные грабли на которые наступили походу, на подобии тех с генератором адресов, как Вас хакали, как оборонялись и тп. На хабре можно было бы это запостить, было бы вдохновляющие,  так как биржа посерьёзнее проект сосцети(смотря какой конечно), как для одного чела это очень круто. Код закрыт, думаю публикация уже найденных уязвимостей и ошибкок на пути, не навредят, но будет другим очень интересно, а Вам реклама))


ЗЗЫ Фишку бирже ещё бы какую то, эксклюзивчику, бороться с бананом и фиником за ликвидность сложно, на них работает обратная связь(больше клиентов => ещё больше клиентов), маленькая биржа может выжить только освоив\создав уникальную нишу, берём фондовые рынки, тибзим от туда что то вкусное и имплементируем у себя. Большие площадки в таких делах инертны, у них баблокосилка, страшно испортить, а Вам наоборот нужно заявить о себе.
kzv
legendary
Activity: 1722
Merit: 1285
OpenTrade - Open Source Cryptocurrency Exchange
3. Радостный юзер считает упавшие на его кошель бабки своими и тут же их выводит.

Может, те трейдеры полагали, что это "вэлком бонус" от Вашей криптовалютной биржи.
Возможно некоторые, особенно новички, так могли подумать. Но уверяю вас, большинство из тех, кто регается на OpenTrade - это не новички которые пришли с целью поторговать, а прожженные хакеры, которые ищут уязвимости. 

Наверно, есть смысл упомянуть об этом баге в документации к opensource-версии Вашей биржи на Github, чтобы другие не повторяли подобных ошибок и не теряли свои деньги.
Этот баг был в сервере аккаунтов, который все еще с открытым кодом. Я этот баг там пофиксил, так что не вижу смысла о нем говорить где-то еще кроме форума.

Quote
в строке запроса пулять всякие секреты вроде как не рекомендуется, хацкеры могут потибзить, лучше в теле запроса джисоном, там оно шифруется, а строка запроса нет
Строка запроса тоже шифруется ибо там в начале кто-то написал "https://"

Quote
Подсмотрите лучше как сделали это в биттрексе
Именно от туда все и слямзено. Посмотрите:



Quote
разве трейдингвью прикрутить сложно?
Когда я начинал разработку, у трейдингвью не было бесплатной версии. Поэтому взял гугловскую библиотеку и подпилил напильником. Сейчас в принципе можно и трейдингвью прикрутить, но не могу времени на это найти пока.

Quote
Ну и ботов поставить маркетмейкерных
Запускаю иногда, потом останавливаю. Мешают они когда что-то тестировать надо.
newbie
Activity: 5
Merit: 0
Интересная идея

я программист c++ , python
gov
member
Activity: 196
Merit: 40
Quote
https://trade.multicoins.org/api/v1/account/withdraw?apikey=API_KEY&nonce=NONCE¤cy=MC&quantity=20.40&address=MC_ADDRESS
Я конечно не вебдизайнер красноглазик, но в строке запроса пулять всякие секреты вроде как не рекомендуется, хацкеры могут потибзить, лучше в теле запроса джисоном, там оно шифруется, а строка запроса нет, то есть ваш провайдер или сисадмин видит ваши апи ключи и может вывести баблишко Wink

Подсмотрите лучше как сделали это в биттрексе, там джисон в теле, и разумеется апи-ключ не прилагается в отрытом виде, а им хешируется сообщение, подписывается, так точно никто ничего не стибзит, вообще всё лучше спрятать в тело запроса, нафиг чтобы провайдер или сисадмин знал сколько вы чего там торгуете и выводите.


PS А чего график такой убогий? График на криптобирже - очень важная состовляющая, лицо биржи, разве трейдингвью прикрутить сложно?

PPS Ну и ботов поставить маркетмейкерных, движуха нужна, хотя бы свой щиток гоняйте в хвост и гриву, чтоб аж пар летел, ажиотаж должен быть, как на базаре очередь, нет очереди к магазу значит товар не интересный, все так делают.
legendary
Activity: 2618
Merit: 2304
3. Радостный юзер считает упавшие на его кошель бабки своими и тут же их выводит.

Может, те трейдеры полагали, что это "вэлком бонус" от Вашей криптовалютной биржи. Иногда некоторые торговые площадки проводят аирдропы на балансы своих клиентов и дарят монеты пользователям в целях привлечения новых трейдеров. Размеры этих бонусов, конечно, небольшие, хотя я не знаю, о каких суммах сдачи в Bitcoin идёт речь в Вашем случае.

Хорошо, что Вам удалось вовремя выявить серьёзный недостаток в организации серверной части и бэкэнда в целом. Наверно, есть смысл упомянуть об этом баге в документации к opensource-версии Вашей биржи на Github, чтобы другие не повторяли подобных ошибок и не теряли свои деньги.
newbie
Activity: 5
Merit: 1
Все замечательно если не учитывать тот факт, что какой-то умник, в какой-то ранней версии битка, сделал эти вновь сгенерированные, но еще не выданные адреса, доступными для сдачи от транзакций!!!

Спасибо, не знал об этом, но повезло сделать работу с адресами по другому принципу.
Баг жестокий, можно было очень много потерять.
kzv
legendary
Activity: 1722
Merit: 1285
OpenTrade - Open Source Cryptocurrency Exchange
Но большинство все таки предпочитает найденные уязвимости использовать чтобы пиздить мои деньги.

Здравствуйте kzv.

Если не секрет - расскажите в общих чертах про уже закрытые вами уязвимости, каким образом вас взламывали?
Сам принимаю участие в создании небольшой биржи, интересно все что связано с безопасностью таких проектов.


На лично я больше всего потерял, так это на вере в крутость программистов биткоина.
Я не стал "изобретать велосипед" и пользоваться сторонними библиотеками чтобы генерировать новые адреса для депозитов, а отдал это на откуп RPC биткоина, за что поплатился кучей бабла...
Суть в том, что до недавнего времени (во многих форках, в том числе в догах, это все еще не пофиксили), алгоритм генерации новых адресов в демонах монет был следующий: генерируется пул из где-то 1000 адресов, которые где-то там запоминаются и выдаются по одному при запросе getnewaddress.
Все замечательно если не учитывать тот факт, что какой-то умник, в какой-то ранней версии битка, сделал эти вновь сгенерированные, но еще не выданные адреса, доступными для сдачи от транзакций!!!
К чему это говно привело на бирже догадаться думаю не сложно:
1. Кто-то делает вывод средств с биржевого баланса, сдача капает на адрес которого еще нигде никто не видел, но который есть в пуле для выдачи.
2. Новый юзер регает аккаунт, заходит в кошелек, спрашивает адрес для депозита на биржу, ему выдается "новенький" адрес на который ранее уже упала сдача!
3. Радостный юзер считает упавшие на его кошель бабки своими и тут же их выводит.

В пункте 3 были еще и более продвинутые козлы, которые выводили не сразу, а сначала продавали эти монеты своему альтернативному аккаунту по цене типа 13 догов за 0.004 битка, а потом уже выводили. Когда я таких успевал брать за жопу, то начинались возмущения и даже угрозы: "мол я ни я, жопа не моя, кто-то продал, я честно  купил, теперь вывожу - давай сюда мои бабки быстро суко!!!111"
newbie
Activity: 5
Merit: 1
Но большинство все таки предпочитает найденные уязвимости использовать чтобы пиздить мои деньги.

Здравствуйте kzv.

Если не секрет - расскажите в общих чертах про уже закрытые вами уязвимости, каким образом вас взламывали?
Сам принимаю участие в создании небольшой биржи, интересно все что связано с безопасностью таких проектов.
sr. member
Activity: 1932
Merit: 349
Проект никогда не предполагался быть на продажу. Я как дурак надеялся, что идея понравится сообществу программистов и кроме меня там появятся еще разработчики.
По факту, другие программисты коммиты делали только в фронтэнд, а в серверную часть никто так и не подумал залезть. Хотя, справедливости ради сказать, за три года все таки нашелся один единственный человек, который бескорыстно мне показал одну уязвимость. Но большинство все таки предпочитает найденные уязвимости использовать чтобы пиздить мои деньги. Поэтому код сейчас и закрыт наглухо.

Мне может и интересно посмотреть как оно устроено но я на python последнее время подсел и js конечно читать могу, и писать даже но не так оно интересно...
И когда смотришь чужой код сразу видишь кучу непонятно чего непонятно зачем, и что б хоть что то понять нужно убить дня 3 вникая в структуры и зависимости.
Нормально было б читать не код а общий алгоритм, а потом уже смотерть реализацию алгоритма в виде кода.
Чужие коды без коментариев это очень не очень.

И open source движки были и до этого, но на js вроде не было... но как я понимаю у js с рождения проблема с числами, в python это решается через decimal потому что даже float не даёт нужной точности, может через это и тырят средства?

И вот есть waves и bitshares у них же обменник есть прям из коробки.
kzv
legendary
Activity: 1722
Merit: 1285
OpenTrade - Open Source Cryptocurrency Exchange
Проект никогда не предполагался быть на продажу. Я как дурак надеялся, что идея понравится сообществу программистов и кроме меня там появятся еще разработчики.
По факту, другие программисты коммиты делали только в фронтэнд, а в серверную часть никто так и не подумал залезть. Хотя, справедливости ради сказать, за три года все таки нашелся один единственный человек, который бескорыстно мне показал одну уязвимость. Но большинство все таки предпочитает найденные уязвимости использовать чтобы пиздить мои деньги. Поэтому код сейчас и закрыт наглухо.
sr. member
Activity: 1932
Merit: 349
...
Небольшой опыт продаж показал, что без полноценной техподдержки со стороны автора с кодом никто справиться не может ((

Это всё из за обилия комментариев, те кто потом смотрят в эти исходиники путаются в них  Grin

Вот пример отличного комментария  Wink
Quote
//require('./reqHandler.js').handle(app, g_constants.WEB_SOCKETS);

/*process.on('uncaughtException', function (err) {
  console.error(err.stack);
  utils.balance_log(err.stack+"\n");
  console.log("Node NOT Exiting...");
});*/
взято тут https://github.com/3s3s/opentrade/blob/master/server/main.js

Это конечно шутка  Roll Eyes но сымсл думаю понятен...
В нормальном проекте на продажу есть не только код с комментариями но и схема UML + блок схема и прочие словесные описания алгоритмов.
kzv
legendary
Activity: 1722
Merit: 1285
OpenTrade - Open Source Cryptocurrency Exchange
Все остальное актуальное в закрытом репозитории.
Закрытый только для себя или в продаже тоже есть?
Только для себя. Продажи не планируются.
Небольшой опыт продаж показал, что без полноценной техподдержки со стороны автора с кодом никто справиться не может ((
Pages:
Jump to: