На сегодняшний день CryptoBot поддерживает уже 7 валют. Но как он хранит приватные ключи?
Очевидно он как-то связан с аккаунтом, так как я получаю к нему доступ с разных устройств, но это означает что он хранится на каком-то сервере. В лучшем случае на серверах Telegram, в худшем вообще на сервере где работает этот бот. Но если это так - кто в здравом уме станет пользоваться таким кошельком, ключ от которого мало того что нельзя никак сохранить надежно, так еще и к нему есть доступ непонятно у кого?
Я так понял авторы кошелька честно-честно только подержат ваш денежки у себя для вашего же удобства. Вы их переведете сами на их кошелёчек, а они помогут удобненько ими пользоваться. Нет, конечно же они не исчезнут поработав немного на репутацию пока не наберется ощутимая сумма. Какой в этом интерес? =) Ну вы понимаете...
Вот и меня этот вопрос мучает. Я конечно в любом случае там ничего не собираюсь хранить, но там можно быстро и по хорошим курсам менять.
С другой стороны я допускаю что ключ может хранится на серверах ТГ. Например, если ТГ сам для своей работы использует какой-то закрытый ключ, и тут его как-то заюзали. Или можно что-то сохранять на серверах ТГ для аккаунтов, типа как куки. В этом случае правда ключ все равно известен боту.
Александр Маджугин, если деньги находятся в руках потенциального злоумышленника, то совершенно неважно, какие там хорошие курсы. В случае чего эти "хорошие" суммы окажутся недоступны.
Чтобы что-то вывести, нужно это спера обменять. Чтобы бло на что обменять, нужно что-то ввести. На кошелёк дяде - владельцу бота.
Никакие ключи не хранятся ни на каких среверах телеграмма. Всё это хранится в памяти и БД бота, то есть в полном доступе у владельца бота. Телега ни при чем.
Представьте нелегального менялу на рынке, который трётся там и предлагает поменять денюшку. Вы ему суёте купюру, он вам суёт другую меняя по своему курсу. Обычно он даже не обманывает, ведь если он каждого будет обманывать, то каждый будет орать, суетиться, портить ему "прикормку" и репутцию.
Но никакой гарантии, что он не испарится с вашей купюрой, или что не всучит фальшивую, а потом тоже испарится... Или лёгким движением напёрсточника облопошит, а вы и сами запутаетесь что и как вы там наменяли.
shurshur, в смысле не отдают? Если бы они "не отдавали" то проект был бы уже соскамленным и вопроса бы не стояло. Пока нормально все операции совершаются, последний год как минимум.
Александр Маджугин, это "пока", но каждый тенге, внесённый туда, даётся владельцам бота без каких-либо гарантий и на свой страх и риск. Если они вдруг прогорят или захотят украсть или их самих обкрадут - всё это будет безвозвратно потеряно.
Это вообще странно говорить "ну до сих пор не обманывали, значит и дальше не будут обманывать". МММ тоже сначала честно выплачивали гонорары распространителям, а потом что-то случилось...
Вообще, меня всегда изумляли любители криптовалют, которые презрительно относятся к настоящим деньгам и считают опасным хранить деньги в классическом банке со строгой регуляторкой и обязательным страхованием, но легко идут в виртуальный банк, где анонимные лица под честное слово "точно вернут".
shurshur, вы не читали что я писал выше, о том что не храню и никогда бы не стал хранить деньги там? К тому же, сколько раз скамом оказывались все эти ваши банки, со всем и этими страховками и сколько крпитопроекты? Лично на моем полувеку счёт пока 2:0 в пользу криптопроектов. Так что не надо.
Александр Маджугин, как там Terra, Криптопанки поживают?) Скам есть всегда. А отвечая на вопрос. Бот это лишь обложка взаимодействия. За которой стоит сервер на котором ведется база и описана логика работы скриптов. Т.е этот серв скорее всего взаимодействует с нодой блокчейна. Все просто. И да все по прежнему зависит от админа этого серва.
Александр Маджугин, ну это же видно по логике работы с ботом.
Чтобы что-то обменять, вам предлагается задепонировать крипту. При депонировании вам предлагается перечислить денежки на предлагаемый кошелёк. Да, этот кошелёк вам тут же сгенерили пустой специально под ваш "вклад", чтобы "видеть", что это от вас денежки. Но это кошелёк владельца бота, вам никто ключи от него не даст.
Да и как вообще можно было подумать, что ключи от кошелька могут храниться "где-то на серверах телеграма"?!
Порой удручает непонимание "криптоинвесторами" предметной области, в которой они пытаются оперировать.
Порой это напоминает как Буратино сажал свои денежки в поле чудес. Не, ну он тоже не слышал, чтобы так кого-то обманули. Зачем читать и разбираться, ведь проще поверить всем сердцем во всё светлое и неосознанно фильтровать все негативные примеры?
Нет никакого смысла сравнивать количество случаев соскамливания фиатных банков и криптобирж-криптообменников. Причина проста - это несооставимые объёмы рынков. По сравнению объёмами фиатного рынка крипты просто нет. И я не про объёмы денежных средств сейчас, а про количество осмысленных транзакций, где продается или покупается конкретный товар.
Если вас не обманули и не обокрали в крипте - это не заслуга каикх-то особенных свойств крипты, это просто ваше позитивно предвзятое отношение к рискам и малый опыт.
Буратино тоже с лёгким сердцем делал свои криптоинвестиции, вед его в этом еще ни разу не обманули. И даром что случаев просто не было, Барстино оперирует своей статистикой из нуля случаев.
Ну ок, у криптомагнатов это единицы, сотни, тысячи транзакций. Кому-то везёт и они энтузиасты. А кто-то потерял всё бабло на соскамившемся обменнике, или валюте, или бирже, хлопнул себя по лбу, сказал в сердцах "я так и знал" и живет себе дальше.
Ничего не имею против крипты. Мне нравится элегантность идеи и как всё внутри устроено. Но всегда смущает поверхностность понимания криптоинвесторами и хомячками как работает вся эта математика в крипте. Они не вникают толком ни в риски, ни в суть всех этих механизмов. А стоило бы.
т.е. это вообще не кошелек, а типо как банк что ли?
Технически это кошелёк, но не ваш, а владельца бота.
Банком это "заведение" только кажется. потому что у банка есть регуляторные механизмы хоть какие-то, а тут просто "подержи деньги в своём кармане, мужик, я вижу ты честный парень, держи, мне надо обменять эту котлету на крипту".
Когда-то был такой интересный разводняк автоматизированный. Сарафаном тебе рассказывают про некий номер телефона, мол если туда переводишь денежку со своего телефонного счета, в ответ обратно тут же прилетает вдвое больше. Народ поверив в удачу пробует кинуть рубль и тут же получает два. Потом кидает 10, и получает 20! Кидает 100 (ну не жалко же для проверки), и получает 200! Ну ок, работает. не могут же они себе в убыток работать. Наверно бабло так отмывают и им это выгодно каким-то образом. Херяк, туда 1000. а в ответ тишина.
Итого у скамеров -110+1000=890р чистой прибыли с одного лоха. Если задержку возврата сделать рандомизированной и не мгновенной, то некоторые будут умудряться сливать туда куда больше, ведь самое лучше, что умеют делать люди - это обманывать самих себя. Сабя обманывать мы учимся всю жизнь и хорошо в этом поднаторели.
как вообще можно было подумать, что ключи от кошелька могут храниться "где-то на серверах телеграма"
Сергей П, ну если думать, то в принципе можно предположить достаточно не сложную схему где в качестве ключа используется например ключ который генерит сам телеграм для шифрования сообщений (если он использует такой), а если подумать дольше 10 секунд можно придумать еще и аккаунтные куки. Короче прям сходу можно предложить пару решений.
не сложную схему где в качестве ключа используется например ключ который генерит сам телеграм для шифрования сообщений
если подумать дольше 10 секунд можно придумать еще и аккаунтные куки
Александр Маджугин, вы, видимо. совсем не понимаете как работает телеграм, его API и телеграммовские боты.
Эдак вы, если подумаете как следует, то и летающий велосипед на квадртаных колёсах изобретёте.
Сергей П, естественно. Поэтому я и задал вопрос.
Я сказал что можно предположить целых 2 схемы работы. Я знаю в целом как работают боты но не представляю как работает телега и какие там есть возможности, поэтому задаю вопросы и делаю предположения пользуясь знаниями из областей которые я знаю и представлением о том как в принципе можно подойти к проектированию таких систем.
Вы наверно целых 15 секунд думали?
Очевидно если бы я думал дольше - я бы придумал и схем побольше.
Александр Маджугин, я так в детстве придумал как переделать к запорожцу бензопилу через дурку в крыше, чтобы вертолёт получился. Много думал. Очень детально продумал как управлять таким летательным аппаратом.
Это называется живая фантазия и к действительности она имеет мало отношения.
Но я тоже удивлялся почему никто не хочет такое воплотить, ведь бензопила и запорожец есть у многих, а полёт того стоит. Тут очень похожая ситуация. Вы нарисовали у себя в голове странного франкенштейна на тему криптокошелька в телеграмме, но почему-то не подумали, что бота писала не та же команда, которая разрабатывала телеграмм. То, что ключи шифрования называются похожим образом в крипто-кошельке и мессенджере - это не значит, что их можно "подружить" вместе. Это просто наивные фантазии не в тему.
Сергей П, их прекрасно можно "подружить". Вот тут вы уже заходите на территорию которую не знаете и снова как в детстве изобретаете запорожец вертолет.
Достаточно любого секрета - хоть "N слов", хоть приватный ключ ssh, хоть приватный ключ телеграма, чтобы однозначно развернуть из него любой другой приватный ключ. Возможно будут вопросы к его надежности - но это совсем другие вопросы.
Александр Маджугин, да, можно хранить секретный ключ у себя и все операции подтверждать, например, приложенькой на своей стороне. Но тогда возникает резонный вопрос: а зачем тут бот? А чтобы боту дать права на работу с кошельком, ему нужно отдать приватный ключ, и он в любом случае позволяет увести все деньги моментально, так как в криптовалютах нет никакой защиты типа ограничения на суммы или частоту операций. А на деле приватный ключ вообще принадлежит самому боту и пользователю никак не принадлежит. Тут вся "криптозащита" - чистой воды бутафория.
Примерно так же устроена "облачная электронная подпись", которая всего лишь банальное подтверждение операций SMS-сообщениями. Для видимости делается бутафория из тысяч "подписей", однако реально у пользователя ключа никакого нет, и если люди в погонах захотят заставить человека подписать "электронную повестку", они сделают всего один звонок реальному владельцу этой бутафории, и подпись под чем угодно появится, а человек об этом даже не узнает.
Даже тут можно что-то изобретать. Например, пользователь может иметь реальную подпись у себя, а сервису отдавать субключ с конкретными правами (ограничения на число подписей или на виды операций с ней). Чтобы использования подписи контроллировались, все операции должны класться в некий блокчейн. Дальше возникнет проблема защиты этого блокчейна от перехвата кворума - очевидно, что с госблокчейнами тут будет всё очень плохо, независимых нод не будет или будет очень мало, а значит государство опять же легко совершит атаку в случае необходимости кого-то подставить. Ещё хуже если не государство, а настоящие злобные злоумышленники.
И всё это ради того, чтобы не делать настоящую надёжную физическую электронную подпись, которую подделать без физической кражи нельзя...
shurshur, я знаю. Вы пишите о достаточно простых вещах. Меня смутило что практически во всех статьях CryptoBot позиционируется именно как кошелек. И я думал - если это кошелек, то как же он работает. Теперь ясно что это не кошелек.
О каких приватных ключах идет речь? Бот знает твой телеграмм id, по нему получаешь доступ к своим монетам. Команда бота на своих кошельках в сетях крипты хранит твою валюту и других пользователей бота. В базе записано сколько там твоих монет. Если потеряешь аккаунт телеграмма, под которым регистрировался в боте - потеряешь доступ к своим монетам в боте. Еще раз, какие приватные ключи, кто и где их хранит? Какие сервера телеграмма?
Ну я полагал что там как-то реализован кошелек - поэтому и интересовался как они обеспечили хранение ключа. Но похоже это действительно просто "криптобанк" и надежность у него не сильно лучше чем у обычного банка.
Бот это лишь обложка взаимодействия. За которой стоит сервер на котором ведется база и описана логика работы скриптов. Т.е этот серв скорее всего взаимодействует с нодой блокчейна. Все просто. И да все по прежнему зависит от админа этого серва. Аналогично иному криптопроекту который позволяет вносить депозит/хранить переводить крипту это лишь оболочки за которыми сервер получает и отдает инструкции согласно описанному коду. Ключи будь то временные или постоянно хранятся у проекта. Также может быть подключен стороннийпроцессинг обработки криптотранзакций отчего ключи и вовсе там.