hacktricks/crypto-and-stego/blockchain-and-crypto-currencies.md

12 KiB

{% hint style="success" %} Jifunze & zoeza AWS Hacking:Mafunzo ya HackTricks AWS Red Team Expert (ARTE)
Jifunze & zoeza GCP Hacking: Mafunzo ya HackTricks GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}

Misingi ya Msingi

  • Mkataba Mjanja unatambuliwa kama programu zinazotekelezwa kwenye blockchain wakati masharti fulani yanakutana, kufanya utekelezaji wa makubaliano bila wakala.
  • Maombi Yaliyotawanyika (dApps) yanajengwa kwenye mikataba mjanja, yakionyesha kiolesura cha mtumiaji kirafiki mbele na nyuma inayoweza kuangaliwa na kuhakiki.
  • Vidakuzi & Sarafu zinatofautisha ambapo sarafu hutumika kama pesa za kidijitali, wakati vidakuzi vinawakilisha thamani au umiliki katika muktadha maalum.
  • Vidakuzi vya Matumizi hutoa ufikiaji wa huduma, na Vidakuzi vya Usalama vinawakilisha umiliki wa mali.
  • DeFi inasimama kwa Fedha Zilizotawanyika, ikitoa huduma za kifedha bila mamlaka ya kati.
  • DEX na DAOs hurejelea Jukwaa za Kubadilishana Zilizotawanyika na Mashirika Yaliyotawanyika ya Kiotomatiki, mtawalia.

Mifumo ya Makubaliano

Mifumo ya makubaliano huthibitisha uthibitisho salama na uliokubaliwa wa shughuli kwenye blockchain:

  • Uthibitisho wa Kazi (PoW) unategemea nguvu ya kompyuta kwa uthibitisho wa shughuli.
  • Uthibitisho wa Hisa (PoS) unahitaji wathibitishaji kushikilia kiasi fulani cha vidakuzi, kupunguza matumizi ya nishati ikilinganishwa na PoW.

Muhimu wa Bitcoin

Shughuli

Shughuli za Bitcoin zinahusisha uhamishaji wa fedha kati ya anwani. Shughuli huthibitishwa kupitia saini za kidijitali, ikihakikisha tu mmiliki wa ufunguo wa faragha anaweza kuanzisha uhamisho.

Vipengele muhimu:

  • Shughuli za Multisignature zinahitaji saini nyingi kuidhinisha shughuli.
  • Shughuli zina vyanzo (chanzo cha fedha), matokeo (marudio), ada (iliyolipwa kwa wachimbaji), na maandishi (kanuni za shughuli).

Mtandao wa Lightning

Lengo ni kuboresha uwezo wa Bitcoin kwa kuruhusu shughuli nyingi ndani ya kituo, kisha kutangaza hali ya mwisho tu kwenye blockchain.

Maswala ya Faragha ya Bitcoin

Mashambulizi ya faragha, kama Umiliki wa Pamoja wa Ingizo na Ugunduzi wa Anwani ya Kubadilisha UTXO, yanatumia mifumo ya shughuli. Mikakati kama Mchanganyiko na CoinJoin huimarisha kutokujulikana kwa kuficha viungo vya shughuli kati ya watumiaji.

Kupata Bitcoins kwa Siri

Njia ni pamoja na biashara ya pesa taslimu, uchimbaji, na kutumia mchanganyiko. CoinJoin inachanganya shughuli nyingi kufanya ugunduzi kuwa mgumu, wakati PayJoin inaficha CoinJoins kama shughuli za kawaida kwa faragha iliyoboreshwa.

Mashambulizi ya Faragha ya Bitcoin

Muhtasari wa Mashambulizi ya Faragha ya Bitcoin

Katika ulimwengu wa Bitcoin, faragha ya shughuli na kutokujulikana kwa watumiaji mara nyingi ni mada za wasiwasi. Hapa kuna muhtasari rahisi wa njia kadhaa za kawaida ambazo wadukuzi wanaweza kuhatarisha faragha ya Bitcoin.

Udhani wa Umiliki wa Ingizo la Kawaida

Kwa ujumla ni nadra kwa vyanzo kutoka kwa watumiaji tofauti kuunganishwa katika shughuli moja kutokana na ugumu uliohusika. Hivyo, anwani mbili za vyanzo katika shughuli moja mara nyingi huchukuliwa kuwa za mmiliki mmoja.

Ugunduzi wa Anwani ya Kubadilisha UTXO

UTXO, au Matokeo Yasiyotumiwa ya Shughuli, lazima itumike kabisa katika shughuli. Ikiwa sehemu tu inatumwa kwa anwani nyingine, mabaki huenda kwa anwani mpya ya kubadilisha. Wachunguzi wanaweza kudhani anwani hii mpya inamilikiwa na mtumaji, ikahatarisha faragha.

Mfano

Kwa kuzuiya hili, huduma za kuchanganya au kutumia anwani nyingi zinaweza kusaidia kuficha umiliki.

2 btc --> 4 btc
3 btc     1 btc

Kutumia Anwani Kwa Lazima Tena

Washambuliaji wanaweza kutuma kiasi kidogo kwa anwani zilizotumiwa awali, wakitarajia mpokeaji atachanganya kiasi hicho na vipande vingine katika shughuli za baadaye, hivyo kuunganisha anwani pamoja.

Tabia Sahihi ya Mfuko wa Pesa

Mifuko wa pesa inapaswa kuepuka kutumia sarafu zilizopokelewa kwenye anwani zilizotumiwa tayari, ili kuzuia uvujaji huu wa faragha.

Mbinu Nyingine za Uchambuzi wa Blockchain

  • Mikataba ya Malipo Sahihi: Shughuli bila mabadiliko huenda kati ya anwani mbili zinazomilikiwa na mtumiaji huyo huyo.
  • Namba za Mzunguko: Namba ya mzunguko katika shughuli inaashiria malipo, na matokeo yasiyo ya mzunguko huenda yakawa mabadiliko.
  • Uchambuzi wa Alama ya Mfuko wa Pesa: Mifuko tofauti ina mifumo ya kipekee ya uundaji wa shughuli, kuruhusu wachambuzi kutambua programu iliyotumiwa na labda anwani ya mabadiliko.
  • Ulinganisho wa Kiasi na Wakati: Kufichua nyakati au kiasi cha shughuli kunaweza kufanya shughuli ziweze kufuatiliwa.

Uchambuzi wa Trafiki

Kwa kufuatilia trafiki ya mtandao, washambuliaji wanaweza kuunganisha shughuli au vitalu kwa anwani za IP, kuhatarisha faragha ya mtumiaji. Hii ni kweli hasa ikiwa taasisi inaendesha nodi nyingi za Bitcoin, ikiboresha uwezo wao wa kufuatilia shughuli.

Zaidi

Kwa orodha kamili ya mashambulizi na ulinzi wa faragha, tembelea Faragha ya Bitcoin kwenye Bitcoin Wiki.

Shughuli za Bitcoin Zisizojulikana

Njia za Kupata Bitcoins kwa Siri

  • Shughuli za Fedha Taslimu: Kupata bitcoin kupitia pesa taslimu.
  • Mbada wa Fedha Taslimu: Kununua kadi za zawadi na kuzibadilisha mtandaoni kwa bitcoin.
  • Uchimbaji: Njia ya faragha zaidi ya kupata bitcoins ni kupitia uchimbaji, hasa unapofanywa peke yako kwa sababu mabwawa ya uchimbaji yanaweza kujua anwani ya IP ya mchimbaji. Maelezo ya Mabwawa ya Uchimbaji
  • Wizi: Kimsingi, kuiba bitcoin kunaweza kuwa njia nyingine ya kupata kwa siri, ingawa ni kinyume cha sheria na siyo kupendekezwa.

Huduma za Kuchanganya

Kwa kutumia huduma ya kuchanganya, mtumiaji anaweza kutuma bitcoins na kupokea bitcoins tofauti badala yake, hivyo kufanya kuandika mmiliki halisi kuwa ngumu. Hata hivyo, hii inahitaji imani kwa huduma hiyo kutokuweka kumbukumbu na kurudisha bitcoins halisi. Chaguzi mbadala za kuchanganya ni pamoja na kasinon za Bitcoin.

CoinJoin

CoinJoin inachanganya shughuli nyingi kutoka kwa watumiaji tofauti kuwa moja, ikifanya iwe ngumu kwa yeyote anayejaribu kulinganisha vipande vya kuingiza na matokeo. Licha ya ufanisi wake, shughuli zenye vipande vya kuingiza na matokeo ya kipekee bado inaweza kufuatiliwa.

Shughuli za mfano ambazo zinaweza kuwa zimetumia CoinJoin ni 402d3e1df685d1fdf82f36b220079c1bf44db227df2d676625ebcbee3f6cb22a na 85378815f6ee170aa8c26694ee2df42b99cff7fa9357f073c1192fff1f540238.

Kwa maelezo zaidi, tembelea CoinJoin. Kwa huduma kama hiyo kwenye Ethereum, angalia Tornado Cash, ambayo inaficha shughuli na fedha kutoka kwa wachimbaji.

PayJoin

Aina ya CoinJoin, PayJoin (au P2EP), inaficha shughuli kati ya pande mbili (k.m., mteja na muuzaji) kama shughuli ya kawaida, bila matokeo sawa yanayojulikana kwa CoinJoin. Hii inafanya iwe ngumu sana kugundua na inaweza kufuta kanuni ya kawaida ya kumiliki kuingiza inayotumiwa na taasisi za ufuatiliaji wa shughuli.

2 btc --> 3 btc
5 btc     4 btc

Miamala kama hiyo hapo juu inaweza kuwa PayJoin, ikiboresha faragha wakati bado inabaki isiyotofautishwa na miamala ya kawaida ya bitcoin.

Matumizi ya PayJoin yanaweza kuvuruga sana njia za ufuatiliaji za jadi, ikifanya kuwa maendeleo yanayostahili katika harakati za faragha ya miamala.

Mbinu Bora kwa Ajili ya Faragha katika Sarafu za Kielektroniki

Mbinu za Synchronization ya Pochi

Ili kudumisha faragha na usalama, kusawazisha pochi na blockchain ni muhimu. Kuna njia mbili zinazojitokeza:

  • Node kamili: Kwa kupakua blockchain nzima, node kamili inahakikisha faragha ya juu. Miamala yote iliyowahi kufanywa inahifadhiwa kwa kienyeji, ikifanya iwe haiwezekani kwa maadui kutambua ni miamala gani au anwani ambazo mtumiaji anavutiwa nazo.
  • Uchujaji wa block upande wa mteja: Njia hii inahusisha kuunda vichujio kwa kila block katika blockchain, kuruhusu pochi kutambua miamala inayofaa bila kufunua maslahi maalum kwa wachunguzi wa mtandao. Pochi nyepesi hupakua vichujio hivi, na kuchukua block kamili tu wakati mechi na anwani za mtumiaji inapatikana.

Kutumia Tor kwa Anonimiti

Kwa kuwa Bitcoin inafanya kazi kwenye mtandao wa rika-kwa-rika, kutumia Tor kunapendekezwa kuficha anwani yako ya IP, ikiboresha faragha unaposhirikiana na mtandao.

Kuzuia Kutumia Anwani Tena

Ili kulinda faragha, ni muhimu kutumia anwani mpya kwa kila miamala. Kutumia tena anwani kunaweza kuhatarisha faragha kwa kuunganisha miamala kwa kitambulisho kimoja. Pochi za kisasa zinakataza kutumia tena anwani kupitia muundo wao.

Mbinu za Faragha ya Miamala

  • Miamala mingi: Kugawanya malipo katika miamala kadhaa kunaweza kuficha kiasi cha miamala, kuzuia mashambulizi ya faragha.
  • Kuepuka kubadilisha: Kuchagua miamala ambayo haitahitaji mabadiliko ya pato huimarisha faragha kwa kuvuruga njia za kugundua mabadiliko.
  • Mabadiliko mengi ya pato: Ikiwa kuepuka mabadiliko sio jambo linalowezekana, kuzalisha mabadiliko mengi ya pato bado kunaweza kuboresha faragha.

Monero: Mwanga wa Anonimiti

Monero inakabiliana na haja ya anonimiti kamili katika miamala ya kidijitali, ikiweka kiwango kikubwa cha faragha.

Ethereum: Gesi na Miamala

Kuelewa Gesi

Gesi inapima juhudi za kuhesabu zinazohitajika kutekeleza shughuli kwenye Ethereum, ikiwa na bei katika gwei. Kwa mfano, miamala inayogharimu 2,310,000 gwei (au 0.00231 ETH) inahusisha kikomo cha gesi na ada ya msingi, pamoja na bahasha ya kuhamasisha wachimbaji. Watumiaji wanaweza kuweka ada ya juu ili kuhakikisha hawalipi zaidi, na ziada kurudishiwa.

Kutekeleza Miamala

Miamala kwenye Ethereum inahusisha mtumaji na mpokeaji, ambao wanaweza kuwa anwani za mtumiaji au mikataba mjanja. Wanahitaji ada na lazima wachimbwe. Taarifa muhimu katika miamala ni mpokeaji, saini ya mtumaji, thamani, data ya hiari, kikomo cha gesi, na ada. Kwa umuhimu, anwani ya mtumaji inahesabiwa kutoka kwa saini, ikiondoa haja ya kuwepo kwake katika data ya miamala.

Mbinu hizi na mifumo ni msingi kwa yeyote anayetaka kushiriki katika sarafu za kielektroniki huku akipatia kipaumbele faragha na usalama.

Marejeo