Это вольный перевод оригинальной темы IOTA: Snake oil insecurity with a centralized kill switch to shut off your money от nullius
Настало время предупредить людей о миллиардном скаме с централизованным рубильником.
Пожалуйста поддержите флаг #1388 против Come-from-Beyond экей Come-from-Beyond... один из основателей IOTA и основной разработчик эталонной реализации, и по-прежнему ассоциирующийся с IOTA, являясь неофициальным советником, хоть и не состоит на должности в организации.*
Примечание: *С практической точки зрения, мистер Come-From-Beyond является единственным известным представителем IOTA на этом форуме, официальным или нет; и нижеприведенные цитаты OP на тему анонсов IOTA остались неизменными во время его пребывания в 2018-19 годах на посту Председателя Совета директоров Фонда IOTA. Данное обвинение в мошенничестве выдвинуто против самой IOTA; данная тема предназначена для поддержки флагов против любых известных крупных или полу-официальных аккаунтов IOTA, независимо от технических особенностей.
Взято из Coindesk, с моими красными болд отметками.
(Примечание: эта кража, после которой IOTA нажала на рубильник (killswitch), произошла всего через несколько месяцев после того, как у майннет IOTA было 15 часов "простоя", вызванного "коррумпированным реестром"... Подождите, что это за криптовалюта, у которой "простои" по всей сети? У Bitcoin нет "простоя", и уж точно нет "коррумпированного реестра").
Это плохие новости для сети, которой люди доверяют свои деньги:
- Незначительный момент: Так или иначе, у некоторых людей украли деньги из-за "snake oil" IOTA про безопасность.
- Важный момент: У IOTA есть рубильник. Они могут делать, и делают, "паузу" или "приостановить" всю сеть. Кто-то может выключить ваши деньги одним нажатием кнопки. Также просто как свет выключить. На самом деле я даже не знаю ни одной криптовалюты, даже ужасно централизованной, которая могла бы быть выключена так же легко, как "[пауза] Координатор".
(Archived)
Перевод: В настоящее время #IOTA работает с правоохранительными органами и экспертами по кибер-безопасности для расследования скоординированной атаки, в результате которой были похищены средства. Для защиты пользователей мы приостановили работу Координатора и советуем пользователям не открывать Trinity до дальнейшего уведомления. Обновления: https://status.iota.org/.
Теперь сравните это фиаско и другие известные проблемы с IOTA с нечестными заявлениями от Come-from-Beyond в анонc-топике IOTA([ur=https://web.archive.org/web/20200219095540/https://bitcointalk.org/index.php?topic=1216479.0]текущий снимок[/url]):
Позвольте мне сказать напрямую: IOTA избегает "централизации управления", имея централизованный рубильник, который может отключить ваши деньги в любое время, и они используют этот рубильник, когда происходит кража, потому что это их способ избежать "устаревшей" криптографии", чтобы продолжать вешать вам лапшу на уши. Их доморощенная крипта была сломана ранее, и, очевидно, в целом небезопасна и содержит ошибки. (независимо от того,была ли эта последняя кража вызвана поломкой их крипты или нет).
Поскольку я технарь, позвольте мне выразить это с математической точки зрения и некоторых вещей:
Нынешнее бедствие IOTA показывает, что заявления честных технических экспертов на этом форуме, таких как я, были давным-давно обоснованы ударом с вертушки по "snake oil" безопасности IOTA.
Что я подразумеваю под "snake oil"? Все, кто что-то знает о практической криптографии, хорошо знают эти предупреждающие знаки:
https://www.schneier.com/crypto-gram/archives/1999/0215.html#snakeoil
Я думаю, можно остановиться на 5 "предупреждающих сигналах" Шнайера, без дальнейшего продвижения.
Я не только сейчас называю IOTA небезопасной. Посмотрите, что я сказал два года назад в дискуссии с одними из самых умных людей на форуме Development & Technology, после того, как был взломан доморощенный хэш от IOTA. Все акценты и полужирный шрифт цитируются как в моих оригинальных сообщениях.
Это не "плохой код". Это DIY криптография. Хуже, DIY криптография для примитивного - DIY хэша! Хуже того, DIY от корпорации, которая никогда не предоставляла никаких доказательств того, что это было создано криптографиами мирового класса, несмотря на то, что они утверждали, что " IOTA Foundation уже заключил субподряд с командой из 5 криптографов мирового класса, а также 3 независимых, чтобы придумать окончательный дизайн Curl, а затем начать длительный рецензируемый процесс, как и было запланировано"." Обратите внимание. , что даже криптографы мирового класса нуждаются в примитивном дизайне, чтобы пройти обширную экспертную оценку перед передачей им "денег других людей" - будь то "окончательное оформление", или нечто иное!
Один из людей, взломавших IOTA, назвал это несколькими словами:Крипто уязвимости в IOTA:
Любой, кто покупает такой непродуманный криптохлам, как IOTA , заслуживает потерять свои деньги по своей же глупости.
Настало время предупредить людей о миллиардном скаме с централизованным рубильником.
Пожалуйста поддержите флаг #1388 против Come-from-Beyond экей Come-from-Beyond... один из основателей IOTA и основной разработчик эталонной реализации, и по-прежнему ассоциирующийся с IOTA, являясь неофициальным советником, хоть и не состоит на должности в организации.*
Примечание: *С практической точки зрения, мистер Come-From-Beyond является единственным известным представителем IOTA на этом форуме, официальным или нет; и нижеприведенные цитаты OP на тему анонсов IOTA остались неизменными во время его пребывания в 2018-19 годах на посту Председателя Совета директоров Фонда IOTA. Данное обвинение в мошенничестве выдвинуто против самой IOTA; данная тема предназначена для поддержки флагов против любых известных крупных или полу-официальных аккаунтов IOTA, независимо от технических особенностей.
Взято из Coindesk, с моими красными болд отметками.
Quote from: Coindesk
IOTA Foundation Приостанавливает сеть, Из-за кражи средств в кошельке Trinity
13 февраля, 2020 в 23:22 UTC
Обновлено 14 февраля, 2020 в 15:14 UTC
IOTA Foundation, некоммерческая организация, стоящая за распределенной сетью IOTA, рекомендовала пользователям закрыть свои кошельки Trinity в четверг после многочисленных сообщений о краже средств.
IOTA сообщила, что начала получать отчеты в среду и решила отключить ноду координатора в сети для дальнейшего расследования.
[...]
В Твиттере IOTA сообщила, что сотрудничает с правоохранительными органами и экспертами по кибер-безопасности в расследовании скоординированной атаки, в результате которой были похищены средства.
Доминик Шинер, соучредитель IOTA Foundation, не ответил на просьбу о предоставлении комментариев до начала пресс-конференции. CoinDesk будет добавлять обновления по мере развития событий.
13 февраля, 2020 в 23:22 UTC
Обновлено 14 февраля, 2020 в 15:14 UTC
IOTA Foundation, некоммерческая организация, стоящая за распределенной сетью IOTA, рекомендовала пользователям закрыть свои кошельки Trinity в четверг после многочисленных сообщений о краже средств.
IOTA сообщила, что начала получать отчеты в среду и решила отключить ноду координатора в сети для дальнейшего расследования.
[...]
В Твиттере IOTA сообщила, что сотрудничает с правоохранительными органами и экспертами по кибер-безопасности в расследовании скоординированной атаки, в результате которой были похищены средства.
Доминик Шинер, соучредитель IOTA Foundation, не ответил на просьбу о предоставлении комментариев до начала пресс-конференции. CoinDesk будет добавлять обновления по мере развития событий.
(Примечание: эта кража, после которой IOTA нажала на рубильник (killswitch), произошла всего через несколько месяцев после того, как у майннет IOTA было 15 часов "простоя", вызванного "коррумпированным реестром"... Подождите, что это за криптовалюта, у которой "простои" по всей сети? У Bitcoin нет "простоя", и уж точно нет "коррумпированного реестра").
Это плохие новости для сети, которой люди доверяют свои деньги:
- Незначительный момент: Так или иначе, у некоторых людей украли деньги из-за "snake oil" IOTA про безопасность.
- Важный момент: У IOTA есть рубильник. Они могут делать, и делают, "паузу" или "приостановить" всю сеть. Кто-то может выключить ваши деньги одним нажатием кнопки. Также просто как свет выключить. На самом деле я даже не знаю ни одной криптовалюты, даже ужасно централизованной, которая могла бы быть выключена так же легко, как "[пауза] Координатор".
(Archived)
Перевод: В настоящее время #IOTA работает с правоохранительными органами и экспертами по кибер-безопасности для расследования скоординированной атаки, в результате которой были похищены средства. Для защиты пользователей мы приостановили работу Координатора и советуем пользователям не открывать Trinity до дальнейшего уведомления. Обновления: https://status.iota.org/.
Теперь сравните это фиаско и другие известные проблемы с IOTA с нечестными заявлениями от Come-from-Beyond в анонc-топике IOTA([ur=https://web.archive.org/web/20200219095540/https://bitcointalk.org/index.php?topic=1216479.0]текущий снимок[/url]):
Блокчейн IOTA решает следующие проблемы своего брата блокчейна:
Централизация управления
Как показывает практика, мелкие майнеры образуют большие группы, чтобы уменьшить вариативность вознаграждения. Это приводит к концентрации власти (вычислительной и политической) в руках немногих операторов пула и дает им возможность применять широкий спектр политик (фильтрация, отсрочка) на определенных сделках. Хотя не известно ни одного случая, когда операторы пула злоупотребляли своей властью, было несколько случаев, когда такая возможность присутствовала. Такая возможность в денежно-кредитной системе, питающей многомиллиардную (в долларах) отрасль, совершенно неприемлема.
Устаревшая криптография
Хотя крупномасштабных квантовых компьютеров еще не существует, компании, ориентированные на будущее, уже начали предпринимать шаги в направлении квантовой криптографии. С точки зрения безопасности имеет смысл предположить, что аппаратное обеспечение, способное взломать классические криптоалгоритмы, может появиться в самом ближайшем будущем, поэтому подготовка к этому является единственной защитой.
Централизация управления
Как показывает практика, мелкие майнеры образуют большие группы, чтобы уменьшить вариативность вознаграждения. Это приводит к концентрации власти (вычислительной и политической) в руках немногих операторов пула и дает им возможность применять широкий спектр политик (фильтрация, отсрочка) на определенных сделках. Хотя не известно ни одного случая, когда операторы пула злоупотребляли своей властью, было несколько случаев, когда такая возможность присутствовала. Такая возможность в денежно-кредитной системе, питающей многомиллиардную (в долларах) отрасль, совершенно неприемлема.
Устаревшая криптография
Хотя крупномасштабных квантовых компьютеров еще не существует, компании, ориентированные на будущее, уже начали предпринимать шаги в направлении квантовой криптографии. С точки зрения безопасности имеет смысл предположить, что аппаратное обеспечение, способное взломать классические криптоалгоритмы, может появиться в самом ближайшем будущем, поэтому подготовка к этому является единственной защитой.
Позвольте мне сказать напрямую: IOTA избегает "централизации управления", имея централизованный рубильник, который может отключить ваши деньги в любое время, и они используют этот рубильник, когда происходит кража, потому что это их способ избежать "устаревшей" криптографии", чтобы продолжать вешать вам лапшу на уши. Их доморощенная крипта была сломана ранее, и, очевидно, в целом небезопасна и содержит ошибки. (независимо от того,была ли эта последняя кража вызвана поломкой их крипты или нет).
SCAM
Поскольку я технарь, позвольте мне выразить это с математической точки зрения и некоторых вещей:
IOTA = ваши деньги → 🗑️
Нынешнее бедствие IOTA показывает, что заявления честных технических экспертов на этом форуме, таких как я, были давным-давно обоснованы ударом с вертушки по "snake oil" безопасности IOTA.
Что я подразумеваю под "snake oil"? Все, кто что-то знает о практической криптографии, хорошо знают эти предупреждающие знаки:
https://www.schneier.com/crypto-gram/archives/1999/0215.html#snakeoil
Quote from: Bruce Schneier (CRYPTO-GRAM)
Враньё
Проблема с плохой безопасностью в том, что она похожа на хорошую безопасностью. Нельзя отличить, глядя на готовый продукт.....
Термин, который мы используем для плохих крипто продуктов - "snake oil", который был американским термином для шарлатанов в начала века. Это напоминает передвижные медицинские шоу, и продавцы предлагают свой особый волшебный эликсир, который излечит любую болезнь, которую вы только можете себе представить.
[...]
В других местах я говорил о создании надежных продуктов безопасности, использовании проверенной математики и, как правило, о консервативности. Здесь я хочу поговорить о некоторых распространенных предупреждающих "snake oil" знаках, и о том, как можно заранее судить о продуктах по их рекламным заявлениям. Эти предупреждающие знаки не надёжны на 100 %, но они довольно хороши.
Предупреждающий знак #1: Псевдо-математическая белиберда
В приведенной выше цитате обратите внимание на "уникальный разработанный внутри компании алгоритм инкрементного базового сдвига". Кто-нибудь знает, что это значит? Есть ли научные работы, в которых обсуждается эта концепция? Длинные существительные цепочки не подразумевают автоматически безопасность.
[...]
Предупреждающий знак №2: Новая математика.
Каждые пару лет какой-нибудь математик смотрит на криптографию, говорит что-то вроде "о, это просто" и приступает к созданию алгоритма шифрования из того, над чем он работал. Всегда это получается паршиво.
[...]
Предупреждающий знак #3: Собственная криптография.
Я обещаю не начинать еще одну тираду о проблемах собственной криптографии. Я просто включу это здесь в качестве предупредительного знака.
[...]
Предупреждающий знак №4: Крайнее невежество.
Некоторые компании делают такие странные заявления, что очевидно, что они не разбираются в своей области.
[...]
Предупреждающий знак №7: Необоснованные утверждения.
[...]
Разные компании заявляют о всяких поломанных алгоритмах, не указывая подробностей. Или что криптография с публичным ключом бесполезна. Не верьте всему этому. Если утверждения кажутся надуманными, то, скорее всего, так и есть.
[...]
Проблема с плохой безопасностью в том, что она похожа на хорошую безопасностью. Нельзя отличить, глядя на готовый продукт.....
Термин, который мы используем для плохих крипто продуктов - "snake oil", который был американским термином для шарлатанов в начала века. Это напоминает передвижные медицинские шоу, и продавцы предлагают свой особый волшебный эликсир, который излечит любую болезнь, которую вы только можете себе представить.
[...]
В других местах я говорил о создании надежных продуктов безопасности, использовании проверенной математики и, как правило, о консервативности. Здесь я хочу поговорить о некоторых распространенных предупреждающих "snake oil" знаках, и о том, как можно заранее судить о продуктах по их рекламным заявлениям. Эти предупреждающие знаки не надёжны на 100 %, но они довольно хороши.
Предупреждающий знак #1: Псевдо-математическая белиберда
В приведенной выше цитате обратите внимание на "уникальный разработанный внутри компании алгоритм инкрементного базового сдвига". Кто-нибудь знает, что это значит? Есть ли научные работы, в которых обсуждается эта концепция? Длинные существительные цепочки не подразумевают автоматически безопасность.
[...]
Предупреждающий знак №2: Новая математика.
Каждые пару лет какой-нибудь математик смотрит на криптографию, говорит что-то вроде "о, это просто" и приступает к созданию алгоритма шифрования из того, над чем он работал. Всегда это получается паршиво.
[...]
Предупреждающий знак #3: Собственная криптография.
Я обещаю не начинать еще одну тираду о проблемах собственной криптографии. Я просто включу это здесь в качестве предупредительного знака.
[...]
Предупреждающий знак №4: Крайнее невежество.
Некоторые компании делают такие странные заявления, что очевидно, что они не разбираются в своей области.
[...]
Предупреждающий знак №7: Необоснованные утверждения.
[...]
Разные компании заявляют о всяких поломанных алгоритмах, не указывая подробностей. Или что криптография с публичным ключом бесполезна. Не верьте всему этому. Если утверждения кажутся надуманными, то, скорее всего, так и есть.
[...]
Я думаю, можно остановиться на 5 "предупреждающих сигналах" Шнайера, без дальнейшего продвижения.
Я не только сейчас называю IOTA небезопасной. Посмотрите, что я сказал два года назад в дискуссии с одними из самых умных людей на форуме Development & Technology, после того, как был взломан доморощенный хэш от IOTA. Все акценты и полужирный шрифт цитируются как в моих оригинальных сообщениях.
Недавний (и действительно хороший) пример плохого кода здесь: http://www.tangleblog.com/wp-content/uploads/2018/02/letters.pdf
Quote
Дом, Дэвид и остальная команда IOTA,
Мы обнаружили серьезные криптографические недостатки в криптографической хэш-функции.
curl, используемый IOTA, curl. Эти недостатки угрожают безопасности сигнатур
и PoW в IOTA, поскольку PoW и сигнатуры полагаются на то, что curl является псевдослучайным и
устойчивым к collision resistant
...
Мы обнаружили серьезные криптографические недостатки в криптографической хэш-функции.
curl, используемый IOTA, curl. Эти недостатки угрожают безопасности сигнатур
и PoW в IOTA, поскольку PoW и сигнатуры полагаются на то, что curl является псевдослучайным и
устойчивым к collision resistant
...
Это не "плохой код". Это DIY криптография. Хуже, DIY криптография для примитивного - DIY хэша! Хуже того, DIY от корпорации, которая никогда не предоставляла никаких доказательств того, что это было создано криптографиами мирового класса, несмотря на то, что они утверждали, что " IOTA Foundation уже заключил субподряд с командой из 5 криптографов мирового класса, а также 3 независимых, чтобы придумать окончательный дизайн Curl, а затем начать длительный рецензируемый процесс, как и было запланировано"." Обратите внимание. , что даже криптографы мирового класса нуждаются в примитивном дизайне, чтобы пройти обширную экспертную оценку перед передачей им "денег других людей" - будь то "окончательное оформление", или нечто иное!
Один из людей, взломавших IOTA, назвал это несколькими словами:Крипто уязвимости в IOTA:
Quote from: Neha Narula (2017-09-07)
Вы можете подумать, что IOTA, криптовалюта стоимостью более миллиарда долларов, и работа с такими организациями, как Microsoft, University College London, Innogy, и Bosch, BNY Mellon, Cisco и Foxconn (через Trusted IOT Alliance)), не будет иметь достаточно очевидных уязвимостей, но, к сожалению, это не так. Когда мы взглянули на их систему, то обнаружили серьезную уязвимость и небезопасный код из учебников.
"В 2017 году оставить свой криптоалгоритм уязвимым для дифференциального криптоанализа - это ошибка новичка". Они говорят, что ни один из калибров не анализировал их систему, и вероятность того, что их исправление сделает систему безопасной, невелика", - утверждает Брюс Шнайер (Bruce Schneier), известный технолог в области безопасности, по поводу IOTA, когда мы делились информацией о нашей атаке.
"В 2017 году оставить свой криптоалгоритм уязвимым для дифференциального криптоанализа - это ошибка новичка". Они говорят, что ни один из калибров не анализировал их систему, и вероятность того, что их исправление сделает систему безопасной, невелика", - утверждает Брюс Шнайер (Bruce Schneier), известный технолог в области безопасности, по поводу IOTA, когда мы делились информацией о нашей атаке.
Любой, кто покупает такой непродуманный криптохлам, как IOTA , заслуживает потерять свои деньги по своей же глупости.