Кто имеет доступ к транзакциям на эфириум

«Да я тебя по кошельку эфира вычислю!» или OSINT методики при работе с Ethereum

Ethereum (ETH) он же Эфириум (a.k.a. Эфир) — вторая по популярности криптовалюта в мире, а также платформа для создания децентрализованных онлайн-сервисов на базе блокчейна, работающего на основе умных контрактов (смарт-контрактов).

Концепция второй криптовалюты была предложена ее создателем Виталиком Бутериным в конце 2013 года, а сеть была запущена 30 июля 2015 года. Но это дорогой читатель ты уже скорее всего знаешь и без меня 🙂

В данной статье мы рассмотрим простые методы и приемы исследования Ethereum, которые применяет в своей работе OSINT-специалист.

DISCLAIMER: Данная статья написана в ознакомительных целях и не является руководством к неправомерным действиям или обучающим материалом для сокрытия правонарушений.

Мы осознаем эффективность таких инструментов исследования криптовалют, как Chainalysis, CipherTrace, Elliptic и т.д. Однако, в наших статьях, мы всегда стараемся делать максимальный акцент на использование, доступных каждому, бесплатных источников данных.

Основным обозревателем блокчейна Ethereum является сервис Etherscan.

Обязательно потратьте пару минут, чтобы зарегистрироваться на платформе, поскольку это откроет вам расширенные возможности по получению данных о транзакциях и криптокошельках Эфира.

Еще в 2020 году Etherscan запустил ИИ-систему внесения в черный список токенов и кошельков, ранее связанных с незаконными действиями.

В качестве альтернативных обозревателей можно порекомендовать:

Blockchair

Tokenview

Все указанные выше обозреватели страдают одной и той же болезнью — отсутствием встроенной системы визуализации транзакций Ethereum между криптовалюиными кошельками. Как итог – приходится работать с табличной информацией.

Исправить это досадное недоразумение можно при помощи сервисов:

Ethtective

GraphSense, но тут потребуется конкретно так потанцевать с бубном. Однако, если сможете достучаться до разработчиков, то есть возможность получить демо доступ к их облаку по модели SaaS.

Ну и конечно же Maltego CE с подключенным бесплатным модулем Tatum Blockchain Explorer, позволяющий исследовать транзакции таких криптовалют, как: Bitcoin, Ethereum, Litecoin, Bitcoin Cash и Dogecoin.

Переходим к идентификации криптокошельков Ethereum.

Официальными источниками данных о принадлежности того или иного кошелька являются обозреватель Etherscan, а также, основанный на его данных, визуализатор Ethtective.

Кроме официальных источников, для сбора данных о принадлежности кошельков Эфириум, вы можете воспользоваться Google Dorks.

О том что такое эти ваши Google Дорки можно прочитать в статье Google Dorking или используем Гугл на максимум

Например, Dork [0xB3764761E297D6f121e79C32A65829Cd1dDb4D32 -block] позволяет очистить результаты поисковой выдачи, удаляя из нее ненужные публичные блокчейны.

Dork [site:etherscan.io 0xB3764761E297D6f121e79C32A65829Cd1dDb4D32] позволяет искать информацию о криптокошельке на выбранной вебсайте.

Dork [site:https://docs.google.com/spreadsheets Bounty intext:»@gmail.com»] позволяет найти готовые базы данных идентифицированных криптокошельков Ethereum, используемых в различных программах BugBounty.

Кроме этого, существуют и различные пополняемые черные списки кошельков Ethereum, связанных с мошенническими действиями или совершением киберпреступлений.

В качестве примера, приведем список, расположенный на сайте Cryptoblacklist. Ссылка: https://www.cryptoblacklist.io/en/ethereum-blacklist. Данные с него можно выкачать для использования в собственных продуктах.

Еще одним интересным инструментом для исследования крипты является Breadcrumbs.app Ссылка: http://breadcrumbs.app. Инструмент, к сожалению, условно бесплатный, однако даже бесплатная версия по функционалу не уступит рассмотренному ранее Ethtective.

Breadcrumbs.app покажет принадлежность адреса к конкретной бирже, сервису или скам-проекту. Показывает AML-характеристики всех входящих и исходящих транзакций.

Вот и все на сегодня. Информации о методах и инструментах OSINT по криптовалюте Ethereum, к сожалению, не много. В этой статье мы постарались собрать для вас все что есть в свободном доступе. Если вы знаете дополнительно какие-либо интересные сервисы, приложения или методики OSINT по эфиру, то поделитесь в комментариях. Так получится собрать наиболее полный гайд по OSINT для Эфира.

Подписывайтесь, чтобы не пропустить новые статьи. До скорой встречи!

• osint
• информационная безопасность
• поиск информации в сети
• анализ данных
• криптовалюты
• криптовалюта
• ethereum

• Блог компании T.Hunter
• Информационная безопасность

Безопасность Ethereum и предотвращение мошенничества

С ростом интереса к криптовалютам важно изучить передовой опыт их использования. Криптовалюта может быть веселой и захватывающей, но есть и серьезные риски. Если вы немного поработаете над собой, то сможете свести риски к минимуму.

Используйте надежные пароли

. Длинная комбинация знаков, цифр и символов лучше всего защищает ваши учетные записи.

Распространенная ошибка, которую совершают люди, заключается в использовании комбинации двух-трех распространенных слов, связанных друг с другом. Подобные пароли ненадежны, потому что они подвержены простой технике взлома, известной как перебор по словарю (opens in a new tab)

Пример ненадежного пароля: CuteFluffyKittens! Пример надежного пароля: ymv\*azu.EAC8eyp8umf 

Еще одна распространенная ошибка — использование паролей, которые можно легко угадать или узнать с помощью социальной инженерии (opens in a new tab)

. Включение в ваш пароль девичьей фамилии вашей матери, имен ваших детей или домашних животных и дат рождения небезопасно и увеличивает риск взлома вашего пароля.

Создание правильных паролей

• Создавайте пароли такой максимальной длины, разрешенной вашим генератором паролей или формой, которую вы заполняете
• Используйте комбинацию прописных и строчных букв, цифр и символов
• Не используйте в пароле личные данные, такие как фамилии
• Избегайте популярных слов, приведенных в словарях

Всегда используйте уникальные пароли

Надежный пароль не обеспечивает должной защиты, если он раскрывается при утечке данных. СайтHave I was Pwned (opens in a new tab)

позволяет проверить, затронуты ли ваши учетные записи какими-либо утечками, данные о которых имеются в его базе данных. Если да, вам следует немедленно изменить раскрытые пароли. Использование уникальных паролей для каждой учетной записи снижает риск того, что хакеры получат доступ ко всем вашим учетным записям, если один из ваших паролей будет скомпрометирован.

Используйте менеджер паролей

Используя менеджер паролей, вы сможете избавиться от хлопот с созданием надежных и уникальных паролей и их запоминанием! Мы настоятельно рекомендуем использовать один из них, и большинство из них бесплатны!

Запоминание надежных уникальных паролей для каждой учетной записи — не лучшее решение. Менеджер паролей предлагает безопасное зашифрованное хранилище для всех ваших паролей, к которым вы можете получить доступ с помощью одного, но надежного мастер-пароля. Он также предлагает надежные пароли при регистрации в новом сервисе, поэтому вам не нужно будет придумывать их самостоятельно. Многие менеджеры паролей также сообщат вам, если ваши данные будут скомпрометированы, что даст вам возможность изменить пароли до вредоносных атак.

Попробуйте менеджер паролей:

Используйте двухфакторную аутентификацию

Чтобы доказать, что это действительно вы, существуют различные уникальные доказательства, которые можно использовать для аутентификации. Они известны как факторы, и вот три основных:

• Что-то, что вы знаете (например, пароль или секретный вопрос)
• Что-то, чем вы являетесь (например, отпечаток пальца, скан радужной оболочки или лица)
• Что-то, что у вас есть (ключ безопасности или приложение для аутентификации на вашем телефоне)

Использование двухфакторной аутентификации (2FA) обеспечивает дополнительный фактор безопасности для ваших онлайн-аккаунтов, так что для доступа к аккаунту недостаточно знать только пароль (что-то, что вы знаете). Чаще всего второй фактор представляет собой рандомизированный 6-значный код, известный как одноразовый временный пароль (TOTP), к которому вы можете получить доступ через приложение для аутентификации, такое как Google Authenticator или Authy. Они работают как фактор «что-то, что у вас есть», потому что начальное число, генерирующее временный код, хранится на вашем устройстве.

Примечание: использование двухфакторной аутентификации на основе вашейSIM-карты (opens in a new tab)

ненадежно, так как она может быть взломана. Это небезопасно. Для максимальной безопасности используйте приложение вроде Google Authenticator (opens in a new tab)

Тем, кто хочет продвинуться еще дальше в 2FA, стоит подумать об использовании ключа безопасности. Ключи безопасности — это физические аппаратные устройства аутентификации, которые работают так же, как и приложения для аутентификации. Использование ключа безопасности — наиболее надежный вариант использования 2FA. Многие из этих ключей используют стандарт FIDO Universal 2nd Factor (U2F). Подробнее о FIDO U2F (opens in a new tab)

Удалите расширения браузера

Расширения браузера, такие как расширения Chrome или дополнения для Firefox, могут расширить функциональность браузера и сделать использование удобнее, но они сопряжены с рисками. По умолчанию большинство расширений браузера запрашивают доступ к «чтению и изменению данных сайта», что позволяет им делать с вашими данными практически все, что угодно. Расширения Chrome всегда автоматически обновляются, поэтому ранее безопасное расширение позже может обновиться, чтобы внести в код вредоносные изменения. Большинство расширений браузера не пытаются украсть ваши данные, но вы должны знать, что они могут это сделать.

Будьте в безопасности:

• Устанавливайте расширения браузера только из надежных источников
• Удаляйте неиспользуемые расширения браузера
• Устанавливайте расширения Chrome локально, чтобы не допускать автоматическое обновление (дополнительно)

Повысьте уровень своих знаний

Одной из главных причин, по которым люди попадаются на мошенничество, в целом является недостаточное понимание того, как работает система. К примеру, вы не знаете того факта, что сеть Ethereum децентрализована и никому не принадлежит, поэтому вам легко стать жертвой мошенника, который выдает себя за агента обслуживания клиентов и обещает вернуть вам потерянные ETH взамен на ваши личные ключи. Узнайте об устройстве системы Ethereum, это вам обязательно пригодится и поможет избежать неприятных ситуаций.

Что такое Ethereum?

Не раздавайте свои закрытые ключи

Никогда и ни по какой причине не делитесь своими закрытыми ключами!

Закрытый ключ вашего кошелька действует как пароль к вашему кошельку Ethereum. Ключ — единственное, что мешает кому-то, кто знает адрес вашего кошелька, слить с вашего счета все его активы!

Что такое кошелек Ethereum?

Не делайте скриншоты своих кодовых фраз и закрытых ключей

Делая снимки экрана с кодовыми фразами или закрытыми ключами, вы рискуете синхронизировать их с облаком и потенциально сделать их доступными для хакеров. Получение закрытых ключей из облака — распространенный способ атаки хакеров.

Используйте аппаратный кошелек

Аппаратный кошелек обеспечивает хранение закрытых ключей в режиме офлайн. Они считаются наиболее безопасным вариантом кошелька для хранения ваших приватных ключей: ваш приватный ключ никогда не касается Интернета и остается полностью локальным на устройстве.

Хранение закрытых ключей в режиме оффлайн значительно снижает риск взлома, даже если хакер получит контроль над вашим компьютером.

Попробуйте аппаратный кошелек:

Дважды проверяйте транзакции перед отправкой

Случайная отправка криптовалюты на ошибочный адрес является распространенной ошибкой. Транзакция, отправленная в Ethereum, необратима. Если вы не знаете владельца адреса и не сможете убедить его отправить вам ваши средства обратно, то вернуть их не удастся.

Прежде чем отправлять транзакцию, убедитесь, что адрес, на который вы отправляете, точно совпадает с адресом желаемого получателя. Также рекомендуется при взаимодействии с умным контрактом читать сообщение транзакции перед подписанием.

Установите лимиты расходов по умному контракту

При взаимодействии с умными контрактами не допускайте неограниченных лимитов на расходы. Неограниченные расходы могут привести к тому, что умный контракт опустошит ваш кошелек. Вместо этого установите лимиты расходов на сумму, необходимую только для транзакции.

Многие кошельки Ethereum предлагают защитные лимиты для предотвращения опустошения аккаунтов.

Распространенные виды мошенничества

Мошенник всегда ищет способ украсть ваши деньги. Невозможно полностью пресечь мошенническую деятельность, однако мы можем укрепить свою безопасность, если будем знать их методы. Существует великое множество способов обмануть вас, но они по своей сути все похожи. Главное, помните:

• Будьте скептичны!
• Никто не собирается давать вам ETH бесплатно или продавать со скидкой
• Никому, кроме мошенников, не нужен доступ к вашим закрытым ключам или личной информации!

Мошенничество с бесплатной раздачей средств

Один из наиболее распространенных видов мошенничества — обман с бесплатной криптовалютой. Это мошенничество может принимать разные формы, но суть в следующем: если вы отправите ETH на указанный адрес, то получите вдвое больше ETH. Поэтому такую схему называют «2 за 1».

Мошенники, работающие по этой схеме, обычно давят на вас тем, что это предложение ограничено, а так же прикрываются благими целями, например помощью малоимущим.

Взлом социальных сетей

Хорошим примером будет событие, произошедшее в июле 2020 года, когда были взломаны аккаунты в Twitter у известных людей и организаций. Хакеры в постах разместили информацию о раздаче биткоинов со взломанных аккаунтов. Хотя взлом быстро обнаружили и устранили, хакерам все же удалось украсть 11 биткоинов (около 500 000 долларов США по курсу на сентябрь 2021 г.).

Раздача от знаменитости

Раздача от знаменитостей — еще одна распространенная форма мошенничества с раздачами. Мошенники берут записанное видеоинтервью или выступление на конференции со знаменитостью и транслируют его в прямом эфире на YouTube, создавая впечатление, что знаменитость дает видеоинтервью в прямом эфире, поддерживая раздачу криптовалюты.

Чаще всего в этой афере используется Виталик Бутерин, но не только: иногда используются и другие известные люди, взаимодействующие с криптовалютами (например, Илон Маск или Чарльз Хоскинсон). Используя видео с известным человеком, мошенники придают прямому эфиру ощущение реализма (выглядит подозрительно, но здесь же Виталик, так что все должно быть в порядке!).

Бесплатные раздачи — это всегда мошенничество. Если вы отправите свои средства на такие счета, то потеряете их навсегда.

Мошенническая служба поддержи

Криптовалюта — это относительно молодая и непонятная технология. Распространенной аферой, использующей это непонимание, является мошенничество с поддержкой, когда мошенники выдают себя за сотрудников службы поддержки популярных кошельков, бирж или блокчейнов.

Большая часть дискуссий об Ethereum происходит в Discord. Мошенники из «службы поддержки» обычно находят свою цель, ища вопросы к поддержке в общедоступных каналах Discord, а затем отправляют спрашивающему личное сообщение с предложением помочь. Завоевав доверие, мошенники, выдающие себя за службы поддержки, пытаются обманом заставить вас раскрыть ваши приватные ключи или отправить средства на их кошельки.

Как правило, персонал никогда не будет общаться с вами по частным, неофициальным каналам. Несколько простых вещей, о которых следует помнить при работе с поддержкой:

• Никогда не делитесь своими закрытыми ключами, кодовыми фразами и паролями.
• Никогда не предоставляйте никому удаленный доступ к вашему компьютеру.
• Никогда не общайтесь вне официальных каналов организации.

Будьте осторожны: хотя мошенничество под видом поддержки обычно происходит в Discord, оно также может быть в любых чатах приложений, где обсуждаются криптовалюты, а так же по электронной почте.

Мошенничество с токенами Eth2

В преддверии слияния мошенники воспользовались путаницей вокруг термина Eth2, чтобы попытаться заставить пользователей выкупить токены ETH2 за свои ETH. Токенов ETH2 не существует, и никаких новых настоящих токенов при слиянии не появилось. ЕТН, которыми вы владели до слияния, остаются теми же ЕТН. Нет никакой необходимости предпринимать какие-либо действия, связанные с вашими ETH, чтобы перейти от доказательства работы к доказательству владения.

Мошенники могут представиться «службой поддержки» и сказать, что при внесении ETH вы получите обратно «ETH2». Официальной службы поддержки Ethereum нет, как нет и никаких новых токенов. Никогда и никому не сообщайте кодовую фразу своего кошелька.

Примечание. Существуют производные токены и тикеры, которые могут представлять ETH, использованные в стейкинге (например, rETH от Rocket Pool, stETH от Lido, ETH2 от Coinbase), но это что-то, на что необходимо «перейти».

Фишинг — еще один все более распространенный способ, который мошенники будут использовать, чтобы украсть ваши средства.

Некоторые фишинговые письма требуют от пользователей перейти по ссылке, которая направит их на имитацию сайта, где далее их попросят ввести свою кодовую фразу, сбросить пароль или отправить ETH. Другие могут попросить вас установить вредоносное ПО, чтобы заразить ваш компьютер и предоставить мошенникам доступ к файлам вашего компьютера.

Если вы получили письмо от неизвестного отправителя, помните:

• Никогда не открывайте ссылки и вложения с адресов электронной почты, которые вы не узнаете.
• Никогда не разглашайте личную информацию или пароли кому-либо.
• Удаляйте сообщения от неизвестных отправителей.

Мошенничество под видом криптоброкера

Мошенники-криптоброкеры утверждают, что являются специализированными брокерами по криптовалюте, которые предлагают взять ваши деньги и инвестировать их от вашего имени. Это предложение обычно сопровождается обещаниями нереалистичной прибыли. Получив ваши средства, мошенники могут ввести вас в заблуждение, попросив вас отправить больше средств, чтобы не упустить дополнительную прибыль от инвестиций, или могут полностью исчезнуть.

Такие «брокеры» находят свои цели, используя поддельные учетные записи на YouTube, чтобы выкладывать правдоподобные обсуждения услуг брокера. Эти обсуждения часто имеют высокий рейтинг, который должен сдеалать их правдоподобнее, но все голоса исходят от учетных записей ботов.

Не доверяйте незнакомцам из Интернета инвестировать от вашего имени. Вы потеряете свою криптовалюту.

Мошенничество с пулом для майнинга криптовалюты

По состоянию на сентябрь 2022 года добыча на Ethereum более не возможна. Тем не менее жульничество с пулами майнеров по-прежнему существует. Мошенничество с пулом для майнинга используется теми, кто связывается с вами и утверждает, что вы можете получить большую прибыль, присоединившись к пулу для майнинга Ethereum. Мошенник будет утверждать это и оставаться с вами на связи столько времени, сколько потребуется. По сути, он попытается убедить вас: когда вы присоединитесь к пулу для майнинга Ethereum, ваша криптовалюта будет использоваться для создания ETH, а вам будут выплачиваться дивиденды в ETH. В конечном итоге вы заметите, что ваша криптовалюта приносит вам маленькую прибыль. Это сделано для того, чтобы заставить вас инвестировать больше. В конце концов все ваши средства будут отправлены на неизвестный адрес, а мошенник либо исчезнет, ​​либо, в некоторых случаях, продолжит оставаться на связи, как в последнем примере.

Главный вывод: будьте осторожны с людьми, которые связываются с вами в социальных сетях и просят вас присоединиться к пулу для майнинга. Как только вы потеряете свою криптовалюту, они исчезнут.

• Будьте осторожны при общении с теми, кто обращается к вам с предложением заработать на вашей криптовалюте.
• Изучите информацию о стекинге, пулах ликвидности или других способах инвестирования вашей криптовалюты.
• Если такие схемы и бывают безобидными, то крайне редко. Если бы это было так, то о них бы говорили все и вы бы уже о них знали.

Мошенничество с раздачей (Airdrop)

Мошенничество с раздачей подразумевает, что мошеннический проект раздает актив (NFT, токен) в ваш кошелек и направляет вас на мошеннический сайт, где вы якобы сможете получить этот актив. При попытке предъявления претензий вам будет предложено войти в систему с помощью кошелька Ethereum и «одобрить» транзакцию. Эта операция компрометирует ваш аккаунт, отправляя мошеннику ваши открытые и приватные ключи. В альтернативной форме этого мошенничества от вас могут требовать подтвердить транзакцию, которая отправляет средства на счет мошенника.

Гид по владению аккаунтами и контрактами в Ethereum

Материал, который мы решили сегодня опубликовать, родился уже около 6 месяцев назад и до сих пор не потерял своей актуальности (может быть, пришлось его чуть-чуть освежить). Тогда мы еще были способны удивляться, глядя на бизнесменов и стартаперов, намеревающихся проводить ICO, но при этом не способных сделать транзакцию с переводом одной эфирки. Сегодня мы уже перестали удивляться, но таких персонажей не стало сильно меньше.

Вообще, понимание важности безопасного хранения своих секретных ключей и умение это делать — основа децентрализованной экономики, которая, как мы надеемся, скоро существенно потеснит классическую централизованную модель. Нужно чётко понимать, что как только вы передаете управление своим секретным ключом кому-либо — например банку, бирже, государству — так сразу магия децентрализации пропадает, и можно спокойно менять блокчейн на Postgres без особой потери смысла. Короче говоря, в этой статье мы и расскажем об азах безопасного хранения приватных ключей на примере блокчейна Ethereum.

Если для вас эта статья не несет ничего нового — супер, мы очень рады, что вы в нашем «клубе». И, кстати, теперь у вас есть куда отправлять всех криптонеофитов, чтобы они случайно не потеряли по глупости все свои эфирки.

Содержание:

0. Do it yourself!

1. Вводная информация
1.1. Аккаунты
1.2. Кошельки
1.3. Контракты
1.4. Multisig-кошельки

2. Владение
2.1. Довольно безопасное
2.1.1. Ноутбук и операционная система
2.1.2. Ethereum-нода
2.1.2.1 Установка на Linux
2.1.2.2. Установка на macOS
2.1.3. Аккаунт
2.1.4. Собираем подписи в единое целое
2.1.4.1 Стандартный MultiSig wallet
2.1.4.2 MixBytes MultiSig
2.2. Чуть менее безопасное
2.3. Обычное
2.3.1 Ethereum Wallet
2.3.2 MEW

Авторы:
Алексей therealal Макеев
Павел pkruglov Круглов
Сергей BoogerWooger Прилуцкий

0. Do it yourself!

Кому доверить владение и управление своими ценностями в блокчейне? Лучше всего — себе. В крайнем случае — человеку, которому вы можете доверить чемодан с деньгами эквивалентной ценности. Дальнейшее руководство предназначено для вас или ваших доверенных людей. Любой, даже кратковременный доступ к компьютерам/оборудованию, с которых будет происходить управление, возможен только для людей с соответствующим уровнем доверия.

Почему это так? Текущая механика работы банков приучила нас, что, сколько бы пин-кодов и паролей от интернет-банка мы ни потеряли, мы всегда можем прийти в отделение банка, показать паспорт и снять деньги либо начать восстановление доступа. Даже если мошенники сняли с банковского счета деньги, с какой-то вероятностью операцию удастся оспорить. В мире блокчейна это не так — если совершена операция (например, перевода денег), ее защищает вся мощь криптографических технологий.

Далее будет дана базовая вводная информация для понимания общей картины и, без деталей информационной безопасности, рекомендации по безопасному владению аккаунтами/контрактами в Ethereum.

1. Вводная информация

1.1. Аккаунты

Базовая сущность, которой можно владеть в сети Ethereum, это аккаунт (в эфириум-терминах: external account) — пара из закрытого и открытого ключа. Закрытый ключ должен держаться в секрете, открытый (точнее, адрес, получаемый из него) можно свободно публиковать.

«На» адрес могут перечисляться деньги (в сети Ethereum — ether, эфир). Чтобы обозначить принадлежность любых средств, контрактов, транзакций (отправителя транзакции), используется именно адрес (например, 0x36c9cc925dd58747044f52d0a57917df64555a3d). Однако чтобы выполнить любое действие от имени адреса своего аккаунта, нужен закрытый (секретный) ключ. Именно безопасное хранение секретных ключей и является главной функцией любого криптокошелька. Кошельки дополнительно шифруют закрытый ключ паролем, который нужно вводить в ходе использования ключа для подписи транзакций, именно в этот момент криптокошелек использует секретный ключ для создания подписи к транзакции.

Чтобы владеть аккаунтом необходимо точно понимать где и как хранится секретный ключ, соответствующий конкретному адресу. Если вы входите в личный кабинет биржи, и биржа сама за вас проводит транзакции (т.е. подписывает каждую из них секретным ключом), значит она знает секретный ключ. И этот адрес фактически принадлежит не вам, а бирже. В случае централизованных бирж зачастую у вас вообще нет секретных ключей от адресов, которые вы видите в интерфейсе биржи. В случае децентрализованных бирж вы подписываете транзакцию на своей машине, и секретный ключ никуда не передается. В этом случае вы контролируете свой аккаунт совершенно самостоятельно.

Обычно аккаунты (адреса и управляющие ими секретные ключи) сохраняются в специальном файле, называемом keystore. Секретные ключи в нем зашифрованы при помощи пароля, который вы будете вводить каждый раз, когда вам надо будет подписать отправляемую в сеть транзакцию. Это означает, что даже если ваш файл скопируют, то без знания пароля будет очень трудно достать из него секретный ключ. Практически невозможно, если вы используете длинный и сложный пароль, и гораздо проще, если вы используете пароль типа «lena1984», которые перебирают атакующие. В любом случае, утечка этого файла — это серьезная проблема.

Помимо пароля, который контролирует доступ к данным об аккаунте (расшифровывая секретный ключ в те моменты, когда он нужен), некоторые криптокошельки используют длинную цепочку слов, называемую seed.

Зная seed, можно воссоздать тот самый секретный ключ. Seed — это информация, которая позволяет с нуля сгенерировать новый keystore-файл, и в нём задать пароль, который захочется. Этот keystore-файл будет использован для управления теми же самыми адресами, что и предыдущий. Так что храните seed очень надёжно, возможно даже в виде хорошо спрятанной твёрдой копии. Не используйте для seed осмысленные куски текста из литературы, например «moroz i solntse den chudesniy» — атакующие смогут перебрать эти тексты с большей эффективностью, чем случайный набор слов типа «shop ban trick track chrome bunny york».

• seed — для полного воссоздания аккаунта с нуля;
• пароль — для расшифровывания сохраненного в keystore-файле секретного ключа, когда он требуется для подписания отправляемой в сеть транзакции.

Большинство кошельков помогает вам сгенерировать надёжный seed. В случае веб-кошельков обычно генерация производится строго у вас в браузере, при помощи JavaScript (программа выполняется у вас на компьютере, внутри вашего браузера, и только ваш браузер видит сгенерированный seed). Но надо понимать, что, если на вашем компьютере работает программа-троян, или в вашем браузере стоит вредоносное расширение, ваш seed может быть украден. Ситуация, когда seed генерируется на стороне сервиса (т.е. он его может подсмотреть) вообще неприемлема. Даже если сервису можно доверять, сам сервис могут взломать.

Аккаунты можно переносить между компьютерами в виде файлов, однако нужно знать, что «полностью» удалить файл с диска/флешки невозможно. При удалении с диска компьютер не удаляет все байты файла, а лишь помечает файл как удалённый, специальные программы могут такой файл восстановить. Если аккаунт имеет или будет иметь большую ценность, он не должен путешествовать по компьютерам и сетям. Все диски и флешки, которые применялись для его передачи, нужно либо физически уничтожить, либо использовать для резервного копирования аккаунта и хранить так же надежно, как и сам аккаунт.

1.2. Кошельки

Программа, которая оперирует с аккаунтами, контрактами и прочими сущностями блокчейна, называется кошельком (wallet) или криптокошельком. Кошелек может содержать несколько аккаунтов и поддерживать одновременную работу с ними. Кошельки бывают в виде обычных программ, в виде отдельного устройства (аппаратные) или в виде web-сервиса. Программа-кошелёк не «хранит в себе биткоины» в виде каких-то данных, а хранит лишь ключи по управлению адресами и умеет общаться с блокчейном (формировать транзакции или искать информацию в блокчейне).

1.3. Контракты

Контракты содержат логику, которая будет выполнена с математической точностью, причем большим количеством майнеров, большинство из которых заинтересованы в честном исполнении контракта. Результирующие изменения состояния контракта будут заверены криптографически и отправлены в общий блокчейн Ethereum, где их может увидеть любой участник. Владение контрактом прописывается в самом контракте (с использованием адресов владельцев, адресов их аккаунтов), т. е. оно является частью логики или состояния контракта. Если логика контракта требует транзакций от нескольких владельцев — ее называют мультиподписью (multi-signature, multisig). Именно на основе такой логики реализованы контракты multisig-кошельков. Мультиподпись не ограничивается защитой контрактов, хранящих эфир, ей можно защитить доступ к любому контракту.

1.4. Multisig-кошельки

Не нужно путать их с программами-кошельками, описанными выше. Multisig-кошелек состоит из контракта с мультиподписью и графического интерфейса для более удобного взаимодействия с контрактом. В контракте прописаны параметры мультиподписи:

• владельцы (обычно это аккаунты);
• количество подписей для выполнения действий.

Иногда снятие малых сумм (порог задается в контракте) требует подписи лишь одного владельца. Например, кошелек Ethereum Wallet (работает на базе графического движка Mist, поэтому иногда ошибочно называется Mist) позволяет и создать multisig-контракт кошелька, и удобно работать с ним. Программа-кошелек может управлять несколькими multisig-кошельками.

Не путайте реализацию мультисиг кошельков в Ethereum и в Bitcoin. В отличие от Ethereum, в Bitcoin, чтобы воспользоваться биткоинами с заранее созданного multisig-адреса, все необходимые подписи нужно «собрать» заранее и упаковать в одну транзакцию, тогда как в Ethereum несколько транзакций от подписантов могут приходить независимо.

2. Владение

Ниже описаны несколько способов с разным балансом безопасности, цены и удобства использования. Все сказанное далее — наша рекомендация.

2.1. Довольно безопасное

Multisig-кошелек с несколькими подписями, аккаунты которых хранятся на разных ноутбуках. Для ценностей более 100 000 долларов нужен именно этот способ. Обязательных подписей — не менее двух. Всего подписей — на одну-две больше, чем обязательных (на случай утери/компрометации одной-двух подписей). Как вариант: всего подписей три, обязательных две (любых).

2.1.1. Ноутбук и операционная система

Покупается у надежной компании, которая понятия не имеет, для чего будет использован ноутбук. Компания должна иметь околонулевой мотив встроить в ноутбук программные/аппаратные «закладки». Все ноутбуки приобрести у разных компаний. Железо должно быть надежное и иметь минимальную вероятность обычной поломки. В случае поломки/проблем — либо решаем сами, либо вынимаем все жесткие диски и отдаем в ремонт, после которого ноутбук НЕ используем для дальнейшего хранения аккаунтов.

Операционная система: Linux либо macOS. Аппаратные требования: SSD (обязательно SSD!), диск 256+ Гб, оперативная память 16+ Гб, процессор уровня Intel Core i5 или лучше. Между ноутбуком и интернетом должен быть firewall, например на маршрутизаторе. Ноутбук должен быть чистым: не устанавливать никаких программ, кроме операционной системы и Ethereum-ноды, не подключать никаких сторонних флешек и дисков. Никаких инструментов удаленного управления!

2.1.2. Ethereum-нода

Кошельки используют Ethereum-ноду для взаимодействия с блокчейном. Нужна так называемая полная Ethereum-нода.

2.1.2.1. Установка на Linux

Скрытый текст

Будем рассматривать установку на deb-совместимые дистрибутивы (Debian, Ubuntu, CentOS). Заходим на https://github.com/ethereum/mist/releases и скачиваем последний релиз, на момент написания статьи это был 0.9.3:

• Если у вас 64-битная система https://github.com/ethereum/mist/releases/download/v0.9.3/Ethereum-Wallet-linux64-0-9-3.deb
• Если вдруг 32-битная https://github.com/ethereum/mist/releases/download/v0.9.3/Ethereum-Wallet-linux32-0-9-3.deb

После скачивания неплохо проверить целостность пакета, чтобы исключить подмену файла. Для этого на странице представлены SHA256-хеши всех файлов, например для Ethereum-Wallet-linux64-0-9-3.deb это 946b4b7dec1b6f2b58b6ef21d06a12dcee691fa2186baad7d99872f94240ced8.

В Linux вычислить хеш можно с помощью стандартной консольной утилиты sha256sum. В окне терминала вводим следующую команду:

$ sha256sum ~/Downloads/Ethereum-Wallet-linux64-0-9-2.deb

• $ — приглашение терминала, означающее, что команда будет выполнена от имени пользователя (вводить не нужно);
• ~ — путь до директории текущего пользователя;
• ~/Downloads/Ethereum-Wallet-linux64-0-9-2.deb — полный путь к файлу.

В ответ нам должен отобразиться хеш, который приведен выше (для вашего файла может быть другой). Для установки пакета используем команду:

$ sudo dpkg -i ~/Downloads/Ethereum-Wallet-linux64-0-9-2.deb

• sudo — команда, позволяющая выполнить действие с правами root (администратора);
• dpkg — стандартная утилита для установки deb-пакета;
• -i — флаг установки пакета (install).

После запуска команды необходимо ввести пароль пользователя.

Другой способ установки: дважды кликаем на файл в графическом файл-менеджере и следуем указаниям.

2.1.2.2. Установка на macOS

Скрытый текст

Для установки используем ту же страницу https://github.com/ethereum/mist/releases, только нам потребуется файл с расширением *.dmg, на момент написания статьи это Ethereum-Wallet-macosx-0-9-3.dmg. После скачивания проверим хеш файла через терминал. Для запуска терминала в macOS нужно:

1. Запустить Finder.
2. Выбрать в меню Finder пункт «Переход», далее — «Служебные программы».
3. Найти иконку «Терминал» и запустить.

В терминале ввести команду:

$ shasum -a 256 ~/Downloads/Ethereum-Wallet-macosx-0-9-2.dmg

Далее дважды кликаем на dmg-файл и устанавливаем кошелек.

2.1.2.3. Синхронизация ноды

Перед какими-либо действиями в блокчейне следует полностью синхронизировать Ethereum-ноду (дождаться, пока все индикаторы синхронизации, подобные нижеприведенному, закончат работу и исчезнут).

Со временем блокчейн будет «распухать». Чтобы его сжать (либо если с последней синхронизации прошло много времени), можно полностью удалить блокчейн (только блокчейн! Не аккаунт), тогда будет выполнена быстрая синхронизация. Данные блокчейна находятся в директории chaindata, которую можно найти:

Для удаления данных блокчейна, следовательно, можно просто удалить директорию chaindata. Лучше всего закрыть кошелек, переименовать chaindata в chaindata.old, запустить кошелек (должна начаться синхронизация с нуля и основной интерфейс по-умолчанию не появится — поэтому нажимаем Launch Application), убедиться, что аккаунты на месте (если нет — переименовали что-то не то, ищем их в переименованном каталоге), после чего можно удалять chaindata.old.

2.1.3. Аккаунт

При первом старте Ethereum Wallet следуйте указаниям:

На этом шаге придумайте сложный пароль для вашего будущего кошелька. После этого аккаунт будет создан.

Для подстраховки от поломки жесткого диска сделать резервную копию аккаунта на флешку, хранить вместе с ноутбуком. Даже неработающий жесткий диск, на котором был аккаунт, следует физически уничтожить.

Для резервного копирования аккаунта нужно скопировать файл с ключами, расположенный по адресу:

Эти же директории можно открыть в Ethereum Wallet через верхнее меню File -> Backup -> Accounts.

2.1.4. Собираем подписи в единое целое

Здесь есть два подварианта. Стандартный MultiSig Wallet подойдет, если актив, которым вы владеете, — это эфир или ERC-20 токены, и он перечисляется вам на адрес (т. е. для получения не требуется дополнительных действий с вашей стороны). Для защиты любого контракта мультиподписью мы разработали свое решение на основе стандартного. Какой из подвариантов выбрать — зависит от того, что нужно защитить.

2.1.4.1. Стандартный MultiSig wallet

Для создания мультисига вам необходимо сделать две вещи:

• скопировать публичные адреса других созданных аккаунтов на текущий ноутбук;
• иметь на основном кошельке эфир (порядка 0.2 или более) для отправки транзакций.

Как только условия выполнены, можно приступать к созданию. В разделе Wallet Contracts нажмите на ADD WALLET CONTRACT. Введите имя контракта и выберите опцию Multisignature Wallet Contract. Вы увидите следующее сообщение:

This is a joint account controlled by X owners. You can send up to X ether per day. Any transaction over that daily limit requires the confirmation of X owners.

На этом этапе вам нужно выбрать, сколько владельцев будет у кошелька-контракта и сколько подписей необходимо для совершения транзакции сверх суточного лимита. Далее нужно вставить адреса всех аккаунтов-владельцев (те, что мы создавали ранее на разных ноутбуках) и нажать CREATE.

Для добавления существующего мультисиг-кошелька на другом компьютере (например, если ноутбук понадобилось заменить или переустановить кошелек) вам необходимо сделать импорт уже существующего кошелька. Действия выполняются в главном окне Ethereum Wallet:

1. На вкладке WALLETS прокрутите вниз до раздела Wallet Contracts и нажмите кнопку ADD WALLET CONTRACT.
2. Впишите удобное имя кошелька.
3. Выберите IMPORT WALLET.
4. Введите адрес кошелька.
5. Если один из ваших существующих аккаунтов является владельцем кошелька, появится зеленая надпись, подтверждающая это.
6. Нажмите кнопку CREATE.

Для перевода средств с мультисиг-кошелька вам, как обычно, нужно перейти на вкладку SEND, выбрать адрес мультисиг-кошелька, с которого будете переводить, ввести сумму и пароль для создания транзакции. Однако после ввода пароля вы увидите различия с обычной транзакцией:

Здесь вам нужно одобрить транзакцию кнопкой APPROVE.

Такое же сообщение будет выведено на компьютере другого владельца:

И только после того как минимально необходимое число владельцев одобрят транзакцию, средства будут переведены.

2.1.4.2. MixBytes MultiSig

Для посылки транзакции в любой контракт, защищенный MixBytes MultiSig, следует выполнить те же действия по отсылке транзакции, как для обычного контракта, но повторить их с нескольких управляющих ноутбуков. Со стольких, сколько минимально подписей требуется. При этом первые запросы лишь зафиксируют факт подписи, а действие выполнит последняя подпись.

Опишем, как посылать транзакции в контракт. Контрактами можно управлять в Ethereum Wallet, в шапке есть вкладка Contracts, переходим в нее:

Здесь можно добавить существующий контракт — нажимаем WATCH CONTRACT. В появившейся форме нужно ввести адрес контракта, его имя (выберите любое — оно остается только в вашем кошельке), а также так называемый ABI (application binary interface, представленный большим JSON-текстом):

ABI должен предоставить разработчик контракта. Или же можно попробовать найти ABI на сервисе etherscan.io по адресу контракта во вкладке Contract Source (только для верифицированных контрактов):

Если все успешно, контракт появится на странице контрактов в кошельке. Заходим в него:

Слева можно посмотреть данные состояния контракта, а справа — выбрать функцию для посыла транзакции (Select function): нажимаем Pick A Function, выбираем нужную функцию, появляется форма, где нужно заполнить параметры вызова:

Когда нужные параметры заполнены, выбираем, от имени какого аккаунта выполнить транзакцию (Execute from), нажимаем EXECUTE (потребуется ввести пароль от аккаунта). После этого транзакция уйдет в сеть и достигнет контракта. Напоминаем, для работы MixBytes MultiSig потребуется проделать аналогичную процедуру на двух или более ноутбуках (в зависимости от минимально необходимого числа подписей). Отправлять подписи сверх необходимых не нужно.

2.2. Чуть менее безопасное

Это аппаратные кошельки. Представляют собой физическое устройство, из которого невозможно извлечь (а следовательно, и украсть) приватный ключ. А для подтверждения транзакции необходимо нажать на физическую кнопку на устройстве. Таким образом, если хакер получит удаленный доступ к вашему компьютеру, к которому в это время будет подключен аппаратный кошелек, злоумышленник все равно не сможет физически нажать на кнопку и перевести себе деньги.

Рассмотрим на примере Ledger Nano S. При первом подключении устройства к компьютеру вам необходимо инициализировать устройство, в это входит:

• Установка 8-значного PIN-кода. Код будет спрашиваться при каждом подключении устройства к компьютеру, а также при выходе из спящего режима.
• Запись фразы восстановления (seed) из 24 слов. Это узкое место, и здесь остановимся подробнее. Если кто-то получит доступ к фразе — можете попрощаться с активами. Поэтому надо обязательно озаботиться ее хранением в безопасном месте. Запишите на бумажку и спрячьте. Плюс к этому рекомендуем хранить ее в двух разных местах — по сути, сделать резервную копию на случай утери. Существует много способов безопасно хранить фразу и в цифровом виде — хранение по частям, стеганография и т. д. Ограничено лишь вашей фантазией.

Видеоинструкция по инициализации

В этом аппаратном кошельке можно хранить разные валюты, их число уже приближается к двадцати и постоянно обновляется. Для доступа к отдельным кошелькам используются приложения Chrome, таким образом решена проблема доступа на разных ОС.

2.3. Обычное

Здесь есть много подвариантов. Рассмотрим два.

2.3.1. Ethereum Wallet

О том, как работать с отдельными аккаунтами, рассказано в первом решении («Довольно безопасное», не доходя до раздела «Собираем подписи в единое целое») — это отдельный чистый ноутбук и Ethereum Wallet на нем.

2.3.2. MEW

Наверное, самый популярный кошелек для Ethereum на данный момент, потому что простой. Заходим на сайт https://myetherwallet.com/, выбираем файл с ключом, вводим пароль и уже можем осуществлять транзакции. Без поднятия ноды, скачивания блокчейна и т. д. Сами ключи не уходят на сайт, после загрузки в браузере приложение работает автономно.

Но есть риск того, что сайт подменят. Можем подстраховаться от этого: просто скачать сайт себе на компьютер и открывать его локально, исходный код доступен на Гитхабе. Скачиваем архив с последней версией (на момент написания это был архив etherwallet-v3.21.15.zip), разархивируем и просто открываем index.html. Получаем тот же MEW, но локально.

Нужно помнить: несмотря на то что MEW не хранит ваши секретные ключи, взлом вашего компьютера или браузера позволит узнать секретные ключи в тот момент, когда вы их введете.

• ethereum
• multisig
• смарт-контракты
• секретные ключи
• криптовалюта

• Блог компании MixBytes
• Децентрализованные сети
• Информационная безопасность
• Криптография
• Криптовалюты

Кто имеет доступ к транзакциям на эфириум

Ethereum (ETH), или эфир — это обменная единица одноименного блокчейна, а также вторая крупнейшая криптовалюта после биткоина. Сейчас наблюдается активный рост количества компаний, принимающих ETH, и потенциал использования данного актива расширяется с каждым днем.

Если вы хотите знать, как совершать покупки с помощью ETH и какие компании принимают его в качестве средства оплаты, — это руководство для вас.

Особенности блокчейна Ethereum

Ethereum — уникальный блокчейн, призванный улучшить функциональность блокчейна биткоина. В отличие от последнего, Ethereum работает крайне быстро и создает новый блок раз в 15 секунд (против 10 минут у биткоина), что делает его более удобным для использования в повседневной жизни.

Также платформа не только хранит всю историю транзакций, но и сообщает, сколько средств содержится в кошельке в данный момент. А благодаря смарт-контрактам, использующимся для автоматизации процессов, управление финансами в Ethereum оказывается довольно простым и интуитивно понятным.

Другой особенностью Ethereum является его собственная криптовалюта — эфир (ETH). Токены Ethereum используются для финансирования проектов и DeFi на базе блокчейна, а также для оплаты различных услуг и товаров.

Что можно купить за ETH?

С Ethereum, как и с биткоином, вы можете приобрести практически все повседневные товары и услуги. Вот несколько вариантов того, на что можно потратить эту криптовалюту:

• Еда
  Некоторые рестораны и кафе, а также сервисы доставки еды уже принимают ETH в качестве средства оплаты;

IT-продукт / веб-услуга
С помощью эфира вы с легкостью можете оплатить подписку на VPN, программное обеспечение, а также взаимодействовать с DApps на базе Ethereum;

Путешествия
Отпуск за криптовалюту — уже не миф. Бронируйте авиабилеты и проживание в отелях, используя эфир;

Эфир и биткоин завоевали славу двух самых популярных криптовалют для покупки недвижимости;

• Благотворительность
  Если вы желаете потратить свои средства на благое дело, то с ETH сделать это очень просто. Существует немало некоммерческих организаций, принимающих данную криптовалюту.

Как проходит транзакция в Ethereum?

Ethereum подобен глобальному компьютеру, состоящему из множества отдельных компьютеров, которые совместно обеспечивают работу всей системы. О том, как функционирует блокчейн Ethereum, мы писали ранее — здесь.

Пользователи, осуществляющие транзакции в Ethereum, в дополнение к стандартным тратам в эфирах платят комиссию за выполнение смарт-контрактов, именуемую «газом». «Газ» имеет переменную стоимость, на которую влияет загруженность сети. Чем выше нагрузка, тем дороже «газ», и наоборот.

Данные сборы необходимы для исполнения каждого из контрактов. Если операция сложная, то «газа» потребуется много. В целом единица эфира соответствует порядка 1 млрд газа.

Пользователи сети также могут создавать собственные токены. Для этого используется стандарт ERC-20 — единый формат, позволивший совместить все смарт-контракты пользователей. Причем вовсе не обязательно оформлять токены только в криптовалюте — это могут быть совершенно разные активы, поддерживаемые экосистемой.

Как расплачиваться ETH?

В общей сложности существует 4 способа расплатиться с помощью Ethereum:

1. Потратить ETH напрямую у компаний, принимающих эту криптовалюту;
2. Использовать ETH как фиат с помощью криптовалютной дебетовой карты;
3. Приобрести подарочную карту/сертификат за ETH;
4. Отправить ETH другим пользователям, используя P2P-транзакции.

Как настроить прием платежей в ETH?

Используя эфир, можно не только расплачиваться самому, но и получать оплату в криптовалюте, что особенно удобно, к примеру, для владельцев Интернет-магазинов. Для приема средств существует несколько способов:

1. Криптокошелек

Чтобы ваши клиенты могли оплачивать товары в ETH, оставьте реквизиты кошелька на вашем сайте. Причем необязательно указывать номер исключительно символами — можно также оставить QR-код.

Однако помните, что все транзакции в блокчейне анонимны, поэтому нет никакой возможности увидеть, кто владелец кошелька. Это может привести к путанице в большом количестве транзакций. Таким образом, данная опция более предпочтительна для небольших площадок, ведущих торговлю эксклюзивными товарами.

2. Платежный модуль

Платежный, или эквайринговый, модуль позволяет производить автоматические платежные операции, защищенные от ошибок за счет привязки транзакций непосредственно к заказам. Этот способ отличается тем, что все действия происходят последовательно.

Однако получить эквайринговый модуль непросто: это потребует немало времени и средств для привлечения разработчика. В силу этого платежный модуль скорее подойдет очень большим площадкам, регулярно проводящим массовые транзакции.

3. Криптопроцессинг

Прием криптоплатежей посредством криптопроцессинга отличается максимальной безопасностью и простотой. Сервис выступает в качестве агрегатора платежей, к которому подключают Интернет-магазин, и берет на себя все заботы, связанные с проведением транзакций. При этом криптопроцессинг взимает небольшую комиссию.

Интеграция криптопроцессинга с бизнесом осуществляется крайне легко, позволяя практически сразу начать принимать поступающие платежи в ETH. Причем данный способ подходит как для небольших, так и для крупных площадок.

Компании, принимающие ETH в 2023 году

В 2023 году множество компаний принимают эфир в качестве способа оплаты. Вот лишь небольшой список мерчантов:

• Travala. Сервис для бронирования отелей и авиабилетов с помощью ETH;
• Bitrefill. Платформа для покупки подарочных карт популярных Интернет-магазинов и онлайн-сервисов;
• Overstock. Мультитоварный онлайн-ритейлер, продающий практически все, что вам может понадобиться;
• Snel.com. Служба хостинга VPS, принимающая эфир;
• Cryptoart. Цифровая валюта в физической форме. Каждый объект представляет из себя цифровой предмет искусства, NFT, созданный вручную ограниченным тиражом;
• Chicago Gem Shop. Покупайте драгоценные камни с помощью эфира;
• 1000 EcoFarms. Интернет-магазин свежих фермерских продуктов, принимающий оплату в ETH;
• QHoster. Хостинг и сервис VPS;
• Peddler.com. Вы можете приобрести что угодно в этом Интернет-магазине, используя ETH;
• FlokiNet. Облачный хостинг и регистратор доменов.

У вас есть бизнес и вы желаете принимать платежи в ETH? Или вы лишь знакомитесь с областями применения этой криптовалюты в повседневной жизни? А может, вы хотите найти достойную альтернативу биткоину? Как бы то ни было, Ethereum может оказаться наиболее удобным и актуальным решением, особенно сейчас — когда появилось множество ограничений в использовании привычных платежных систем.