0 просмотренных постов скрыто
Павел Дуров. Игра по своим правилам. Сеть TON
В мае 2020 года команда анонимных разработчиков запустила собственную версию блокчейна под названием Free TON. Проект был разработан с использованием открытого кода и не был связан с Telegram и Павлом Дуровым.
По мнению экспертов, прозрачность и открытость Free TON стали отличительными чертами проекта. Взявшие контроль над блокчейном разработчики придерживаются идеалов Web3 в своих начинаниях, пытаясь развивать экосистему как эталон децентрализованного сообщества, устраивая голосования по важным вопросам и распределяя токены среди активных пользователей.
💎 У TON одно из самых крепких сообществ в крипитоиндустрии, что отчасти и позволило проекту остаться на плаву после конфликта с властями США. Братьям Дуровым удалось. сплотить вокруг блокчейна не только стремящихся заработать криптоинвесторов, но и разработчиков, дизайнеров, экономистов, которые помогли TON стать тем, чем он является сейчас.
После года активной разработки блокчейн начал свою экспансию: в августе 2021 года был запущен мост с Ethereum, а через несколько месяцев — и с Binance Smart Chain. Это обеспечило совместимость между TON и двумя крупнейшими экосистемами, что привлекло новых пользователей и внимание криптоиндустрии.
Перерождение
В ноябре 2021 года TON включили в листинг двух крупнейших криптовалютных бирж - OKX и FTX — это сделало токен по-настоящему мейнстримным.
Тогда же о блокчейне стали писать активно западные СМИ и аналитики.
16 декабря 2021 года был отмечен еще один важный этап для TON — анонс первого NFT-проекта на блокчейне, TON Bulls. За ним быстро последовали другие, включая TON Diamonds, Минтозавров, Animal Red List и TON Punks. Эти проекты показали общественности потенциал TON в качестве экосистемы, которая способна на большее, чем просто платежи в криптовалюте.
ВСЕ ПОЗНАЕТСЯ В СРАВНЕНИИ
💰 Биткоин обрабатывает 7 транзакций в секунду
🔹 Эфириум обрабатывает 15 транзакций в секунду
💎 А TON обрабатывает ДО 10 МЛН. транзакций в секунду
В TON незначительные комиссии за переводы крипты, в то время как в Эфире комиссия при переводе 5$ может составить 10$
КОМАНДА
Сейчас нет конкретных имен разработчиков, работающих над развитием TON. Они позиционируют себя как сообщество разработчиков. НО мы помним, кто начинал развивать этот проект – братья Дуровы – а у этих ребят на счету достаточно успешных проектов. Нет сомнений, создали тот необходимый фундамент для TON, который сейчас разработчики дорабатывают и постепенно реализуют всё задуманное.
ТОКЕНОМИКА
🪙 В обращении находится 1,22 млрд. токенов
🪙 Максимальная эмиссия 5 млрд. токенов
🪙 Годовая инфляция - 0,6%. Она представляет собой платеж, сделанный всеми членами сообщества валидаторам для поддержания работоспособности системы.
🪙 Капитализация на 9 июня 2024- 17,24 млрд. $.
🪙 В перспективе капитализация Toncoin может быть в диапазоне $60–500 млрд. У биткоина на сегодня капитализация примерно 783 млрд. $.
🪙 350 тыс.+ кошельков TON.
МАРКЕТИНГ И СООБЩЕСТВО
✅ Официальный канал TON стал самым большим криптовалютным каналом в телеге.
✅ Телеграм стал самым посещаемым мессенджером, обогнав WhatsApp. Это говорит о том, что аудитория Телеграма растет и учитывая, что TON очень плотно взаимодействует с Телеграмом, все сообщество Телеграма – это потенциальные покупатели токена, так как некоторые сервисы в мессенджере уже можно оплачивать с помощью TON.
✅ Была создана социальная сеть на TON – TON Place, – где монетизация своих аккаунтов происходит за счет активности как ваших подписчиков, так и вас. Это еще один источник получения аудитории для TON.
Павел Дуров - основной бенефициар TON
Не забываем про человека, чьим детищем является этот проект. Я про Павла Дурова. Он хоть официально и не ассоциирует себя никак с TON, но однозначно заинтересован в развитии этого проекта, в который он вложил многое. Павел Дуров живет в Дубае, где сейчас сосредоточено очень большое крипто-сообщество, там открыты офисы крупнейших бирж, проходят регулярно крипто-саммиты, конференции и тд., соответственно, Павел, находясь в центре всей этой движухи может за бокальчиком вина неофициально рекламировать TON и рассказывать о нем влиятельным в криптоиндустрии людям.
Free TON — это первый блокчейн, который рожден свободным
А ведь это один из основных факторов Антихрупкости.
99 процентов работающих сейчас блокчейн-решений, которые имеют какую-то оценку, работают в одну цепочку. И это их фундаментальное ограничение. Есть такие, которые работают быстрее, где пропускная способность составляет тысячи транзакций в секунду. Есть и более медленные. Но всё это — одна цепочка.
Это слабости и уязвимости системы. Хрупкость☝️
По определению, на одном компьютере нельзя обеспечить весь мир. Чтобы юзкейсы работали для всего мира, нужно чтобы, условно говоря, компьютеров было много. Это называется шардингом (sharding), или шардированным блокчейном. Free TON — это первый блокчейн с динамическим шардингом. Здесь шарды возникают по мере нагрузки. И это естественно: если у тебя не справляется один компьютер — окей, ставим рядом второй, третий, тысячный и так далее.
Конечно, есть ограничение, но оно настолько большое, что никакой набор практических кейсов, которые сейчас есть, не упрется в эту производительность. Архитектурно Free TON рассчитан на миллионы транзакций в секунду.
В биткоине по-другому. Там побеждает более длинная цепочка. То есть, фактически, кто угодно может записать что угодно. Но если большинство участников, условно, честные и делают правильные вычисления, то побеждает более длинная цепочка. Это другая идеология защиты. Но у биткоина и эфира количество тех, кто формирует блоки, гораздо меньше, чем у Free TON.
Во Free TON существует концепция устойчивой децентрализации — sustainable decentralization. Мы считаем, что единственный способ избежать негативного сценария, это децентрализация пулов. Например, простой пользователь — физическое лицо — отправляет в сеть 10 токенов на смарт-контракт DePool (Decentralized Pool), что дает возможность валидатору использовать стейк для создания блоков. При этом валидатор, который подписывает блоки, не может голосовать этими токенами, и право голоса остается у пользователей — у тех владельцев небольшого количества токенов, которые отдали эти токены в децентрализованный пул.
Получается, с одной стороны, пользователи сохраняют возможность получать доход от этих токенов, используя их в стейкинге. С другой — сохраняют право голоса и не переходят к какому-то консолидатору. Так право голоса сохраняется у миллионов людей. Мы считаем, что это очень важный компонент устойчивой децентрализации и уникальное свойство Free TON. Таких контрактов нет в других блокчейн-сетях.
Иначе говоря, Free TON лучше защищена от централизации, чем все существующие сети
Децентрализация - Антихрупкость
Ещё про Павла Дурова, TON и слабости Систем в моём Телеграм канале Антихрупкость
Показать полностью
2
Fuzzing Bitcoin: Поиск критической уязвимости и новые методы защиты криптовалюты
В криптографических приложениях и криптовалютных кошельках есть критически важные компоненты, такие как генерация ключей, шифрование/дешифрование, подпись транзакций и.т.д. Эти компоненты должны быть основными целями для Фаззинг-тестирования. Использование Фаззинг-тестирования в криптографических приложениях и криптовалютных кошельках помогает выявлять и устранять уязвимости, повышая безопасность и надежность программного обеспечения.
Фаззинг-тестирование (или просто Фаззинг) — это метод тестирования программного обеспечения, который используется для выявления уязвимостей и ошибок путем подачи на вход программы случайных или специально сгенерированных данных. В контексте криптоанализа Фаззинг-тестирование применяется для проверки криптографических алгоритмов и систем на наличие слабых мест, которые могут быть использованы злоумышленниками.
Основная идея Фаззинга заключается в том, чтобы автоматически генерировать большое количество случайных или некорректных входных данных и подавать их на вход тестируемой системе. Затем анализируются результаты работы системы с этими данными, чтобы выявить неожиданные поведения, сбои или уязвимости.
Фаззинг-тестирование в криптоанализе может помочь обнаружить такие проблемы, как:
Буферные переполнения: Ошибки, возникающие при записи данных за пределы выделенной памяти.
Ошибки обработки исключений: Неправильная обработка неожиданных или некорректных данных.
Уязвимости в алгоритмах: Недостатки в реализации криптографических алгоритмов, которые могут быть использованы для взлома.
Этот метод является мощным инструментом для обеспечения безопасности криптографических систем и помогает разработчикам создавать более надежное и защищенное программное обеспечение.
Применение Фаззинг-тестирования к криптовалютным кошелькам имеет несколько преимуществ:
Обнаружение уязвимостей: Фаззинг помогает выявить уязвимости, которые могут быть использованы злоумышленниками для кражи средств или компрометации безопасности кошелька.
Повышение надежности: Тестирование с использованием случайных данных помогает выявить ошибки, которые могут привести к сбоям или некорректной работе кошелька, что в свою очередь повышает его надежность.
Автоматизация процесса тестирования: Фаззинг-тестирование можно автоматизировать, что позволяет проводить тесты более часто и эффективно, чем ручное тестирование.
Разнообразие тестовых сценариев: Фаззинг генерирует большое количество разнообразных тестовых сценариев, что помогает выявить ошибки, которые могли бы остаться незамеченными при использовании традиционных методов тестирования.
Улучшение безопасности: Регулярное Фаззинг-тестирование помогает разработчикам своевременно обнаруживать и устранять уязвимости, что повышает общий уровень безопасности криптовалютного кошелька.
Экономия времени и ресурсов: Автоматизированное Фаззинг-тестирование может сэкономить время и ресурсы, которые в противном случае были бы потрачены на ручное тестирование и отладку.
Фаззинг может помочь обнаружить следующие типы уязвимостей:
Ошибки обработки ввода: Кошельки могут некорректно обрабатывать входные данные, такие как адреса, суммы транзакций или ключи. Фаззинг может выявить случаи, когда некорректные данные приводят к сбоям или неправильной работе кошелька.
Переполнение буфера: Если Биткоин кошелек не проверяет длину входных данных, это может привести к переполнению буфера, что в свою очередь может быть использовано злоумышленниками для выполнения произвольного кода.
Уязвимости в парсерах: Кошельки часто используют парсеры для обработки данных транзакций и других входных данных. Фаззинг может выявить ошибки в этих парсерах, которые могут привести к сбоям или уязвимостям безопасности.
Ошибки в криптографических операциях: Некорректная обработка данных в криптографических операциях может привести к утечке приватных ключей или другим критическим уязвимостям. Фаззинг может помочь выявить такие ошибки.
Уязвимости в API: Если Биткоин кошелек предоставляет API для взаимодействия с другими приложениями, Фаззинг может выявить уязвимости в этих интерфейсах, которые могут быть использованы для несанкционированного доступа или выполнения нежелательных операций.
Ошибки в обработке транзакций: Фаззинг может выявить ошибки в логике обработки транзакций, которые могут привести к неправильному выполнению транзакций или даже к потере средств.
BitcoinChatGPT и выбор инструмента для Фаззинга:
Существует множество инструментов для Фаззинг-тестирования, таких как AFL (American Fuzzy Lop), libFuzzer, Honggfuzz и другие. Фаззинг-тестирование должно быть частью непрерывного процесса разработки и тестирования. Регулярное проведение Фаззинг-тестов поможет своевременно выявлять новые уязвимости и поддерживать высокий уровень безопасности криптовалютного кошелька. В начале 2024 года широкую популярность получили современные технологии которые развивают предварительно обученную модель Bitcoin ChatGPT и находят эффективные способы решение сложных криптографических задач, лежащих в основе метода Фаззинг-тестирования. Рассмотрим пример построение структуры уязвимой Raw транзакции в котором используется модуль BitcoinChatGPT
BitcoinChatGPT №3 Fuzzing Vulnerability Algorithm
Эти инструменты могут помочь выявить уязвимости и улучшить безопасность криптовалютных кошельков.
AFL (American Fuzzy Lop)
Это один из самых популярных инструментов для Фаззинг-тестирования. Он может быть настроен для тестирования различных типов программного обеспечения, включая криптовалютные кошельки. American Fuzzy Lop (AFL) — это мощный инструмент для Фаззинг-тестирования, который обычно используется для нахождения уязвимостей в программном обеспечении. Хотя AFL в основном используется через командную строку, вы можете написать Python-скрипт для автоматизации его запуска. Для начала, убедитесь, что у вас установлен AFL. Если нет, вы можете установить его, следуя инструкциям на официальном сайте AFL.
На YouTube можно найти множество полезных видеороликов, которые помогут вам лучше понять и использовать AFL. Вот несколько рекомендаций:
“American Fuzzy Lop (AFL) Tutorial” — В этом видео обычно объясняются основы использования AFL, как его установить и начать работу с ним.
“Fuzzing with AFL: A Practical Guide” — Это видео может предложить практическое руководство по Фаззинг-тестированию с использованием AFL, включая примеры и демонстрации.
“Advanced Fuzzing Techniques with AFL” — В этом видео могут быть рассмотрены более продвинутые техники и стратегии для эффективного использования AFL.
“AFL Fuzzing: Finding Bugs in Real-World Applications” — Это видео может показать, как использовать AFL для нахождения уязвимостей в реальных приложениях, с примерами и анализом.
“Setting Up AFL for Fuzz Testing” — В этом видео может быть пошагово показано, как настроить AFL для Фаззинг-тестирования на вашей системе.
Эти видеоролики помогут вам лучше понять, как использовать AFL для тестирования безопасности вашего программного обеспечения.
libFuzzer
Это библиотека для Фаззинг-тестирования, которая интегрируется с LLVM. Она может быть использована для тестирования программ на C и C++. LibFuzzer — это инструмент для fuzz-тестирования, который обычно используется с C/C++ программами. Однако, вы можете использовать Python для автоматизации запуска LibFuzzer.
“Introduction to Fuzzing with libFuzzer” – Этот видеоролик предоставляет базовое введение в использование libFuzzer для начинающих.
“Fuzzing with libFuzzer and AddressSanitizer” – В этом видео объясняется, как использовать libFuzzer вместе с AddressSanitizer для обнаружения уязвимостей в коде.
“Advanced Fuzzing Techniques with libFuzzer” – Этот ролик подходит для тех, кто уже знаком с основами и хочет углубить свои знания.
“Google Testing Blog: libFuzzer Tutorial” – Видеоурок от команды Google, который охватывает различные аспекты использования libFuzzer.
“Fuzzing C/C++ Programs with libFuzzer” – В этом видео рассматриваются конкретные примеры и демонстрируется процесс Фаззинга C/C++ программ.
Эти видеоролики помогут вам лучше понять, как использовать libFuzzer для тестирования и улучшения безопасности вашего кода.
Honggfuzz
Это еще один мощный инструмент для Фаззинг-тестирования, который поддерживает различные типы программного обеспечения и может быть использован для тестирования криптовалютных кошельков. Honggfuzz — это мощный инструмент для fuzz-тестирования, который можно запускать из Python с помощью модуля subprocess.
“Fuzzing with Honggfuzz” – Этот видеоролик может предоставить вам общее представление о том, как начать работу с Honggfuzz, включая установку и базовые команды.
“Advanced Fuzzing Techniques with Honggfuzz” – В этом видео могут быть рассмотрены более продвинутые техники и настройки для использования Honggfuzz, что может быть полезно для более опытных пользователей.
“Honggfuzz Tutorial for Beginners” – Если вы только начинаете, этот видеоролик может быть отличным стартом, так как он, вероятно, охватывает основные концепции и шаги по настройке.
“Integrating Honggfuzz with CI/CD Pipelines” – Это видео может показать, как интегрировать Honggfuzz в ваши процессы непрерывной интеграции и доставки, что может быть полезно для автоматизации тестирования.
OSS-Fuzz
Это сервис от Google, который предоставляет инфраструктуру для непрерывного Фаззинг-тестирования с открытым исходным кодом. Он поддерживает множество проектов и может быть настроен для тестирования криптовалютных кошельков. OSS-Fuzz помогает находить ошибки в программном обеспечении с открытым исходным кодом с помощью fuzz-тестирования. Однако, OSS-Fuzz не запускается напрямую через Python-код. Вместо этого, вы должны настроить проект для использования OSS-Fuzz, а затем запустить его через командную строку.
Рассмотрим ример того, как можно настроить и запустить fuzz-тестирование для вашего проекта с использованием OSS-Fuzz.
“OSS-Fuzz: Continuous Fuzzing for Open Source Software” – Этот видеоролик от Google Open Source рассказывает о том, как работает OSS-Fuzz и как он помогает улучшать безопасность и стабильность открытого программного обеспечения.
“Fuzzing with OSS-Fuzz” – В этом видео подробно объясняется, как начать использовать OSS-Fuzz для вашего проекта, включая настройку и интеграцию.
“Google OSS-Fuzz: Continuous Fuzzing for Open Source Software” – Презентация от Google, которая охватывает основные концепции и преимущества использования OSS-Fuzz.
“Fuzzing 101: Getting Started with OSS-Fuzz” – Учебное пособие для начинающих, которое шаг за шагом объясняет, как начать работу с OSS-Fuzz.
“Integrating Your Project with OSS-Fuzz” – В этом видео рассматриваются практические аспекты интеграции вашего проекта с OSS-Fuzz, включая примеры кода и советы по устранению неполадок.
Radamsa
Это генератор случайных данных, который может быть использован для Фаззинг-тестирования. Он прост в использовании и может быть интегрирован в различные тестовые сценарии. Radamsa — это инструмент для генерации случайных данных (fuzzing), который может быть полезен для тестирования программного обеспечения.
“Fuzzing with Radamsa” – В этом видео объясняется, как использовать Radamsa для Фаззинга (тестирования программного обеспечения на наличие уязвимостей).
“Introduction to Fuzz Testing with Radamsa” – Введение в Фазз-тестирование с использованием Radamsa, включая основные принципы и примеры.
“Radamsa: A Fuzzing Tool for Security Testing” – Обзор возможностей Radamsa и его применения в области безопасности.
“How to Use Radamsa for Fuzz Testing” – Пошаговое руководство по использованию Radamsa для Фазз-тестирования.
Echidna
Это инструмент для Фаззинг-тестирования смарт-контрактов на языке Solidity, который может быть полезен для тестирования кошельков, взаимодействующих с Ethereum.
“Echidna: Fuzzing for Ethereum Smart Contracts” – Этот видеоролик объясняет основы использования Echidna для тестирования смарт-контрактов на Ethereum.
“Fuzzing Smart Contracts with Echidna” – В этом видео подробно рассматривается процесс настройки и запуска Echidna для Фаззинга смарт-контрактов.
“Echidna: A Fuzzer for Ethereum Smart Contracts” – В этом видео обсуждаются различные аспекты и возможности Echidna, а также примеры использования.
“Smart Contract Security: Fuzzing with Echidna” – Видеоролик, который фокусируется на безопасности смарт-контрактов и использовании Echidna для нахождения уязвимостей.
Peach Fuzzer
Коммерческий инструмент для Фаззинг-тестирования, который поддерживает множество протоколов и форматов данных. Он может быть использован для тестирования безопасности криптовалютных кошельков. Peach Fuzzer — это популярная платформа Фаззинга, используемая для проверки безопасности и надежности программного обеспечения путем предоставления неожиданных или случайных входных данных.
“Peach Fuzzer Tutorial” – В этом видео обычно объясняются основы использования Peach Fuzzer, включая установку и настройку.
“Fuzzing with Peach: A Beginner’s Guide” – Это видео может быть полезно для тех, кто только начинает работать с Peach Fuzzer и хочет понять основные концепции и методы.
“Advanced Peach Fuzzer Techniques” – В этом видео рассматриваются более сложные аспекты использования Peach Fuzzer, такие как создание собственных тестов и анализ результатов.
“Peach Fuzzer in Action: Real-World Examples” – Здесь можно увидеть, как Peach Fuzzer используется для нахождения уязвимостей в реальных приложениях.
“Setting Up a Fuzzing Environment with Peach” – Это видео поможет вам настроить рабочую среду для эффективного использования Peach Fuzzer.
Peach Fuzzer не написан на Python, и для его запуска обычно требуются файлы конфигурации и определенные шаги настройки.
Чтобы запустить Peach Fuzzer, вам обычно необходимо создать XML-файл Peach Pit, который определяет структуру данных, которые вы хотите Фаззить, и целевое приложение. Затем вы используете инструмент командной строки Peach для выполнения процесса Фаззинга.
Заключение:
Фаззинг представляет собой мощный метод тестирования безопасности, который может значительно повысить устойчивость криптовалютных систем, таких как Bitcoin. В ходе исследования были выявлены потенциальные уязвимости и слабые места в программном обеспечении Bitcoin, что подчеркивает необходимость постоянного мониторинга и улучшения безопасности. Применение фаззинга позволяет не только обнаруживать ошибки на ранних стадиях разработки, но и предотвращать возможные атаки, что особенно важно в условиях растущей популярности и значимости криптовалют. В будущем, интеграция фаззинга в стандартные процедуры тестирования может стать ключевым шагом к обеспечению надежности и безопасности децентрализованных финансовых систем.
References:
1. “Fuzzing for Security Testing: Theory and Practice” – review articles on methods and techniques fuzzing.
2. “Bitcoin: A Peer-to-Peer Electronic Cash System” is an original article by Satoshi Nakamoto describing the basics of Bitcoin.
3. “Fuzzing: Art, Science, and Engineering” – articles describing various approaches to fuzzing and their application in security.
4. “Fuzzing for Software Security Testing and Quality Assurance” – a book dedicated to fuzzing methods and tools.
5. “Mastering Bitcoin: Unlocking Digital Cryptocurrencies” is a book that provides a deep understanding of how Bitcoin works.
6. “Looking for Lacunae in Bitcoin Core’s Fuzzing Efforts” Dynamic analysis: Software testing and debugging
7. “ContractFuzzer: Fuzzing Smart Contracts for Vulnerability Detection” Bo Jiang, Ye Liu, and W.K. Chan. 2018. ContractFuzzer: Fuzzing Smart Contracts for Vulnerability Detection
8. “Fuzzing Ethereum Smart Contracts” Roberto Ponte and Miguel Correia INESC-ID, Instituto Superior Tecnico, Universidade de Lisboa / Iberia Medeiros LaSIGE, Faculdade de Ciencias, Universidade de Lisboa.
9. “TokenAuditor: Detecting Manipulation Risk in Token Smart Contract by Fuzzing” 2022 IEEE 22nd International Conference on Software Quality, Reliability and Security (QRS).
10. “Learning to Fuzz from Symbolic Execution” with Application to Smart Contracts.
11. “Finding Consensus Bugs in Ethereum via Multi-transaction Differential Fuzzing” Youngseok Yang, Seoul National University; Taesoo Kim, Georgia Institute of Technology; Byung-Gon Chun, Seoul National University and FriendliAI
12. “The Human Side of Fuzzing: Challenges Faced by Developers” During Fuzzing Activities (Software testing and debugging; Empirical studies; Surveys and overviews).
Данный материал создан для портала CRYPTO DEEP TECH для обеспечения финансовой безопасности данных и криптографии на эллиптических кривых secp256k1 против слабых подписей ECDSA в криптовалюте BITCOIN. Создатели программного обеспечения не несут ответственность за использование материалов.
Показать полностью
1
15