hacktricks/blockchain/blockchain-and-crypto-currencies

☁️ HackTricks क्लाउड ☁️ -🐦 ट्विटर 🐦 - 🎙️ ट्विच 🎙️ - 🎥 यूट्यूब 🎥

• क्या आप किसी साइबर सुरक्षा कंपनी में काम करते हैं? क्या आप अपनी कंपनी को हैकट्रिक्स में विज्ञापित देखना चाहते हैं? या क्या आपको PEASS की नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने की अनुमति चाहिए? सदस्यता योजनाएं की जांच करें!

• खोजें The PEASS Family, हमारा विशेष NFT संग्रह।

• प्राप्त करें आधिकारिक PEASS & HackTricks swag

• शामिल हों 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह में या मुझे ट्विटर पर फ़ॉलो करें 🐦@carlospolopm.

• अपने हैकिंग ट्रिक्स को hacktricks रेपो और hacktricks-cloud रेपो में पीआर जमा करके साझा करें।

मूलभूत शब्दावली

• स्मार्ट कॉन्ट्रैक्ट: स्मार्ट कॉन्ट्रैक्ट सिर्फ एक प्रोग्राम हैं जो ब्लॉकचेन पर संग्रहीत होते हैं और जब पूर्वनिर्धारित शर्तें पूरी होती हैं तो चलते हैं। आमतौर पर इन्हें उद्घाटन की क्रिया को स्वचालित करने के लिए उपयोग किया जाता है, ताकि सभी सहभागियों को परिणाम की तत्परता हो सके, किसी मध्यस्थ की संलग्नता या समय की हानि के बिना। (यहां से लिया गया है यहां)।
• मूल रूप से, एक स्मार्ट कॉन्ट्रैक्ट एक कोड का टुकड़ा है जो जब लोग कॉन्ट्रैक्ट तक पहुंचते हैं और उसे स्वीकार करते हैं तो इसे निष्पादित किया जाएगा। स्मार्ट कॉन्ट्रैक्ट ब्लॉकचेन में चलते हैं (इसलिए परिणाम अचल होते हैं) और इन्हें लोग स्वीकार करने से पहले पढ़ सकते हैं।
• dApps: डीसेंट्रलाइज्ड एप्लिकेशन स्मार्ट कॉन्ट्रैक्ट के ऊपर लागू किए जाते हैं। इनमें आमतौर पर एक फ्रंट-एंड होता है जहां उपयोगकर्ता ऐप के साथ इंटरैक्ट कर सकते हैं, बैक-एंड सार्वजनिक होता है (ताकि इसे संवीक्षण किया जा सके) और एक स्मार्ट कॉन्ट्रैक्ट के रूप में लागू किया जाता है। कभी-कभी डेटाबेस का उपयोग करना आवश्यक होता है, इथेरियम ब्लॉकचेन हर खाते को निश्चित संग्रह का आवंटन करता है।
• टोकन और सिक्के: एक सिक्का एक क्रिप्टोकरेंसी है जो डिजिटल मनी के रूप में कार्य करता है और एक टोकन कुछ मूल्य को प्रतिष्ठित करता है लेकिन यह एक सिक्का नहीं है।
• यूटिलिटी टोकन: ये टोकन उपयोगकर्ता को बाद में कुछ सेवा तक पहुंचने की अनुमति देते हैं (यह कुछ ऐसा है जो किसी विशेष पर्यावरण में कुछ मूल्य रखता है)।
• सुरक्षा टोकन: ये किसी संपत्ति के स्वामित्व को दर्शाते हैं।
• डीफ़ी: डीसेंट्रलाइज्ड फ़ाइनेंस।
• डीईएक्स: डीसेंट्रलाइज्ड एक्सचेंज प्लेटफ़ॉर्म।
• डीएओ: डीसेंट्रलाइज्ड ऑटोनोमस संगठन।

सहमति यांत्रिकियाँ

एक ब्लॉकच

मल्टीसिग्नेचर लेनदेन

एक मल्टीसिग्नेचर पता एक पता है जो एक से अधिक ECDSA निजी कुंजी से जुड़ा होता है। सबसे सरल प्रकार एक m-of-n पता है - इसके साथ n निजी कुंजी संबंधित होती हैं, और इस पते से बिटकॉइन भेजने के लिए कम से कम m कुंजीयों के हस्ताक्षर की आवश्यकता होती है। एक मल्टीसिग्नेचर लेनदेन एक ऐसा होता है जो एक मल्टीसिग्नेचर पते से फंड भेजता है।

लेनदेन के फ़ील्ड

प्रत्येक बिटकॉइन लेनदेन में कई फ़ील्ड होते हैं:

• इनपुट: बिटकॉइन की मात्रा और पता जहां से बिटकॉइन भेजे जा रहे हैं
• आउटपुट: पता और राशि जो प्रत्येक आउटपुट में स्थानांतरित की जाती हैं
• फ़ीस: लेनदेन के माइनर को दिए जाने वाले धन की मात्रा
• स्क्रिप्ट_सिग: लेनदेन का स्क्रिप्ट हस्ताक्षर
• स्क्रिप्ट_प्रकार: लेनदेन का प्रकार

लेनदेन के दो मुख्य प्रकार होते हैं:

• P2PKH: "पब्लिक की हैश को भुगतान करें": यह लेनदेन कैसे बनाए जाते हैं। आपको आवश्यकता होती है कि भेजने वाला एक वैध हस्ताक्षर (निजी कुंजी से) और पब्लिक कुंजी प्रदान करें। लेनदेन आउटपुट स्क्रिप्ट हस्ताक्षर और पब्लिक कुंजी का उपयोग करेगा और कुछ क्रिप्टोग्राफिक फ़ंक्शन के माध्यम से जांचेगा कि यह पब्लिक की हैश के साथ मेल खाता है, यदि हां, तो धन खर्च किया जाएगा। यह विधि आपकी सुरक्षा के लिए एक हैश के रूप में आपकी पब्लिक कुंजी को छिपाती है।
• P2SH: "स्क्रिप्ट हैश को भुगतान करें": एक लेनदेन के आउटपुट सिर्फ स्क्रिप्ट होते हैं (इसका मतलब है कि व्यक्ति जो इस धन को चाहता है वह एक स्क्रिप्ट भेजता है) जो, यदि विशेष पैरामीटर के साथ क्रियान्वित होते हैं, true या false का बूलियन परिणाम देंगे। यदि एक माइनर आपूर्ति स्क्रिप्ट को दिए गए पैरामीटर के साथ चलाता है और इसका परिणाम true होता है, तो धन आपके वांछित आउटपुट में भेजा जाएगा। P2SH मल्टीसिग्नेचर वॉलेट के लिए उपयोग किया जाता है जो लेनदेन को स्वीकार करने से पहले एकाधिक हस्ताक्षरों की जांच करने वाले लॉजिक आउटपुट स्क्रिप्ट बनाता है। P2SH का उपयोग धन खर्च करने के लिए भी किया जा सकता है। यदि एक P2SH लेनदेन का आउटपुट स्क्रिप्ट केवल 1 है जो सच है, तो पैरामीटर प्रदान किए बिना आउटपुट खर्च करने का प्रयास केवल 1 के परिणाम में समाप्त होगा, जो कोई भी व्यक्ति जो कोशिश करता है, धन खर्च करने के लिए संभव होगा। इसका यही अर्थ है जो स्क्रिप्ट 0 लौटाता है, जो किसी को धन खर्च करने के लिए संभव नहीं बनाता है।

लाइटनिंग नेटवर्क

यह प्रोटोकॉल एक चैनल को कई लेनदेन करने में मदद करता है और इसे ब्लॉकचेन में सहेजने के लिए केवल अंतिम स्थिति को भेजता है। यह बिटकॉइन ब्लॉकचेन की गति को बेहतर बनाता है (इसमें केवल 7 भुगतान प्रति सेकंड की अनुमति होती है) और यह बनाने की अनुमति देता है ट्रेस करने के लिए कठिन लेनदेन क्योंकि चैनल बिटकॉइन ब्लॉकचेन के नोड के माध्यम से बनाया जाता है:

लाइटनिंग नेटवर्क का सामान्य उपयोग एक भुगतान चैनल खोलकर किया जाता है जिसमें एक वित्तीय लेनदेन को मूल बेस ब्लॉकचेन (लेयर 1) में एक वित्तीय लेनदेन के रूप में समर्पित करके अपडेट किए जाने वाले किसी भी संख्या के लाइटनिंग नेटवर्क लेनदेनों को बनाने के बाद चैनल के धन के अस्थायी वितरण को अपडेट करने के लिए ब्लॉकचेन को भेजने के बाद भुगतान चैनल को बंद करने के लिए वित्तीय लेनदेन के अंतिम संस्करण को ब्रॉडकास्ट करके चैनल के धन का वितरण करने के बाद।

ध्यान दें कि चैनल के दोनों सदस्य चैनल की अंतिम स्थिति को किसी भ

2 btc --> 4 btc
3 btc     1 btc

मान लें कि दोनों आउटपुट में से एक आउटपुट चेंज है और दूसरा आउटपुट भुगतान है। दो व्याख्याएं हैं: भुगतान आउटपुट या 4 BTC आउटपुट है या 1 BTC आउटपुट है। लेकिन यदि 1 BTC आउटपुट भुगतान राशि है तो 3 BTC इनपुट अनावश्यक है, क्योंकि वॉलेट केवल 2 BTC इनपुट खर्च कर सकता था और इसके लिए कम माइनर शुल्क भुगतान कर सकता था। यह इसका संकेत है कि वास्तविक भुगतान आउटपुट 4 BTC है और 1 BTC चेंज आउटपुट है।

इस तरह के लेनदेन के लिए यह समस्या होती है जिनमें एक से अधिक इनपुट होते हैं। इस लीक को ठीक करने का एक तरीका है कि चेंज आउटपुट को किसी भी इनपुट से अधिक बनाने के लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसके लिए और इसक

2 btc --> 4 btc
3 btc     6 btc
5 btc

बाध्य पता पुनः उपयोग

बाध्य पता पुनः उपयोग या प्रोत्साहित पता पुनः उपयोग ऐसा होता है जब एक प्रतिष्ठान बिटकॉइन के एक पहले से ही उपयोग किए गए पते पर एक (अक्सर छोटे) राशि का भुगतान करता है। दुश्मन की आशा होती है कि उपयोगकर्ता या उनके वॉलेट सॉफ़्टवेयर सामान्य-इनपुट-स्वामित्व तकनीक के माध्यम से अन्य पतों का पता लगाने के लिए भुगतान को एक बड़े लेनदेन के भाग के रूप में उपयोग करेगा। ये भुगतान पता मालिक को अनजाने में पता पुनः उपयोग करने का एक तरीका के रूप में समझा जा सकता है।

इस हमले को कभी-कभी गलत रूप से धूल अटैक कहा जाता है।

वॉलेट्स द्वारा सही व्यवहार यह होता है कि वे खाली पतों पर जमा हुए सिक्के खर्च नहीं करते हैं।

अन्य ब्लॉकचेन विश्लेषण

• सटीक भुगतान राशि: बदले के साथ लेनदेन से बचने के लिए, भुगतान को UTXO के बराबर होना चाहिए (जो अत्यधिक अप्रत्याशित है)। इसलिए, एक बदले के बिना भुगतान राशि शायद ही एक ही उपयोगकर्ता के 2 पतों के बीच का स्थानांतरण होगा।
• गोल नंबर: एक लेनदेन में, यदि आउटपुट में से एक "गोल नंबर" है, तो यह अत्यधिक संभावना है कि यह एक ऐसे इंसान को भुगतान है जिसने उस "गोल नंबर" की कीमत रखी है, इसलिए दूसरा हिस्सा बचा होगा।
• वॉलेट फिंगरप्रिंटिंग: एक सतर्क विश्लेषक कभी-कभी यह निर्धारित कर सकता है कि कौन सा सॉफ़्टवेयर एक निश्चित लेनदेन को बनाया है, क्योंकि अनेक विभिन्न वॉलेट सॉफ़्टवेयर समान ढंग से लेनदेन नहीं बनाते हैं। वॉलेट फिंगरप्रिंटिंग का उपयोग बदले उत्पादों की पहचान करने के लिए किया जा सकता है क्योंकि एक बदले उत्पाद वही है जिसे एक ही वॉलेट फिंगरप्रिंट के साथ खर्च किया जाता है।
• राशि और समय संबंध: यदि व्यक्ति जो लेनदेन किया है, उस लेनदेन के समय और/या राशि को प्रकट करता है, तो इसे आसानी से खोजना जा सकता है।

ट्रैफिक विश्लेषण

कुछ संगठन आपके ट्रैफ़िक को स्निफ़ करके आपको बिटकॉइन नेटवर्क में संचार करते हुए देख सकते हैं।
यदि दुश्मन एक लेनदेन या ब्लॉक को आपके नोड से निकलते हुए देखता है जो पहले से पहले नहीं आया था, तो यह निश्चितता के साथ जान सकता है कि लेनदेन आपके द्वारा किया गया था या ब्लॉक आपके द्वारा माइन हुआ था। इंटरनेट कनेक्शन के साथ जुड़े होने के कारण, दुश्मन को खोजे गए बिटकॉइन जानकारी के साथ IP पते को जोड़ने की क्षमता होगी।

एक हमलावर जो सभी इंटरनेट ट्रैफ़िक को स्निफ़ नहीं सकता है, लेकिन उसके पास बहुत सारे बिटकॉइन नोड होते हैं ताकि वह स्रोतों के पास रह सके, वह यह जानने के लिए सक्षम हो सकता है कि कौन से IP पते लेनदेन या ब्लॉक की घोषणा कर रहे हैं।
इसके अलावा, कुछ वॉलेट समय-समय पर अपुष्ट लेनदेन को फिर से प्रसारित करते हैं ताकि वे नेटवर्क के माध्यम से व्यापक रूप से प्रसारित हों और माइन हों।

पतों के मालिक के बारे में जानकारी खोजने के लिए अन्य हमले

अधिक हमलों के लिए पढ़ें https://en.bitcoin.it/wiki/Privacy

अनाम बिटकॉइन

बिटकॉइन गोपनीयता को प्राप्त करना

• नकद व्यापार: नकद का उपयोग करके बिटकॉइन खरीदें।
• नकद के समकक्ष: उपहार कार्ड या समकक्ष खरीदें और उन्हें ऑनलाइन बिटकॉइन के लिए बदलें।
• माइनिंग: माइनिंग बिटकॉइन प्राप्त करने का सबसे गोपनीय तरीका है। यह सोलो-माइनिंग के लिए लागू होता है क्योंकि माइनिंग पूल आमतौर पर हैशर के IP पते को जानते हैं।
• चोरी: सिद

2 btc --> 3 btc
5 btc     4 btc

इसे एक साधारण लेन-देन के रूप में व्याख्या किया जा सकता है जिसमें बची हुई छुट्टी के साथ कहीं पर भुगतान किया जाता है (अभी इस सवाल को नजरअंदाज करें कि कौन सा आउटपुट भुगतान है और कौन सा चेंज है)। इस लेन-देन को एक और तरीके से व्याख्या किया जा सकता है कि 2 BTC इनपुट व्यापारी के पास है और 5 BTC उनके ग्राहक के पास है, और यह लेन-देन ग्राहक द्वारा व्यापारी को 1 BTC का भुगतान करने के संबंध में है। इन दो व्याख्याओं में से कौन सी सही है, इसे कहना मुश्किल है। परिणामस्वरूप एक कॉइनजॉइन लेन-देन होता है जो सामान्य-इनपुट-स्वामित्व हेरिस्टिक को तोड़ता है और गोपनीयता को बेहतर बनाता है, लेकिन यह भी अनुक्रमिक और किसी भी नियमित बिटकॉइन लेन-देन से अलग नहीं होता है।

यदि पे ज्वॉइन लेन-देन को मध्यम से भी उपयोग किया जाए तो यह प्रैक्टिस में सामान्य-इनपुट-स्वामित्व हेरिस्टिक को पूरी तरह से गलत बना देगा। इन्हें अनुक्रमिक रूप से नहीं पता चलेगा कि क्या वे आज उपयोग हो रहे हैं या नहीं। ट्रांजैक्शन सर्वेलेंस कंपनियाँ अधिकांशतः उस हेरिस्टिक पर निर्भर करती हैं, इसलिए 2019 के रूप में पे ज्वॉइन विचार के बारे में बहुत उत्साह है।

बिटकॉइन गोपनीयता अच्छी प्रैक्टिस

वॉलेट सिंक्रनाइज़ेशन

बिटकॉइन वॉलेट को अपने शेष राशि और इतिहास के बारे में जानकारी कैसे प्राप्त करनी चाहिए। देर से 2018 के अनुसार, सबसे अधिक व्यावहारिक और निजी मौजूदा समाधान हैं फुल नोड वॉलेट (जो अधिकतम निजी है) और क्लाइंट-साइड ब्लॉक फ़िल्टरिंग (जो बहुत अच्छा है) का उपयोग करना।

• फुल नोड: फुल नोड पूरी ब्लॉकचेन को डाउनलोड करते हैं जिसमें बिटकॉइन में हुई हर ऑन-चेन ट्रांजैक्शन शामिल है। इसलिए एक प्रतिद्वंद्वी उपयोगकर्ता की इंटरनेट कनेक्शन को देख रहे दुश्मन को यह पता नहीं चलेगा कि उपयोगकर्ता किस ट्रांजैक्शन या पते में रुचि रखता है।
• क्लाइंट-साइड ब्लॉक फ़िल्टरिंग: क्लाइंट-साइड ब्लॉक फ़िल्टरिंग का काम ब्लॉक में हर ट्रांजैक्शन के लिए सभी पतों को शामिल करने वाले फ़िल्टर बनाने से होता है। फ़िल्टर यह जांच सकते हैं कि क्या एक तत्व सेट में है; गलत पॉजिटिव तो संभव है ही, लेकिन गलत नकारात्मक नहीं। एक हल्के वजन वालेट को ब्लॉकचेन में हर ब्लॉक के लिए सभी फ़िल्टर डाउनलोड करने और अपने खुद के पतों के साथ मिलान की जांच करनी चाहिए। मिलान करने वाले ब्लॉक पूरी तरह से पीयर-टू-पीयर नेटवर्क से डाउनलोड किए जाएंगे, और उन ब्लॉक का उपयोग वॉलेट के इतिहास और वर्तमान शेष राशि प्राप्त करने के लिए किया जाएगा।

टॉर

बिटकॉइन नेटवर्क पीर-टू-पीर नेटवर्क का उपयोग करता है, जिसका मतलब है कि अन्य पीयर आपका आईपी पता जान सकते हैं। इसलिए यह सिफारिश की जाती है कि आप **बिटकॉइन नेटवर्क के साथ

संदर्भ

• https://en.wikipedia.org/wiki/Proof_of_stake
• https://www.mycryptopedia.com/public-key-private-key-explained/
• https://bitcoin.stackexchange.com/questions/3718/what-are-multi-signature-transactions
• https://ethereum.org/en/developers/docs/transactions/
• https://ethereum.org/en/developers/docs/gas/
• https://en.bitcoin.it/wiki/Privacy

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• क्या आप साइबर सुरक्षा कंपनी में काम करते हैं? क्या आप अपनी कंपनी को HackTricks में विज्ञापित देखना चाहते हैं? या क्या आप PEASS के नवीनतम संस्करण का उपयोग करना चाहते हैं या HackTricks को PDF में डाउनलोड करना चाहते हैं? सदस्यता योजनाएं की जांच करें!

• खोजें The PEASS Family, हमारा विशेष NFT संग्रह।

• प्राप्त करें आधिकारिक PEASS & HackTricks swag

• शामिल हों 💬 Discord समूह या टेलीग्राम समूह या मुझे ट्विटर पर फ़ॉलो करें 🐦@carlospolopm.

• अपने हैकिंग ट्रिक्स साझा करें, hacktricks रेपो और hacktricks-cloud रेपो में पीआर जमा करके।