13 KiB
Jifunze AWS hacking kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!
Njia nyingine za kusaidia HackTricks:
- Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
- Pata bidhaa rasmi za PEASS & HackTricks
- Gundua Familia ya PEASS, mkusanyiko wetu wa kipekee wa NFTs
- Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu zako za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.
Misingi ya Msingi
- Mkataba Mjanja unatambuliwa kama programu ambazo hutekelezwa kwenye blockchain wakati hali fulani zinakutana, kiotomatiki utekelezaji wa makubaliano bila wakala.
- Maombi Yaliyotawanyika (dApps) yanajengwa kwenye mikataba mjanja, yakionyesha kiolesura cha mtumiaji kirafiki na sehemu ya nyuma inayoweza kuangaliwa na kufanyiwa ukaguzi.
- Vidakuzi & Sarafu zinatofautisha ambapo sarafu hutumika kama pesa za kidijitali, wakati vidakuzi vinawakilisha thamani au umiliki katika muktadha maalum.
- Vidakuzi vya Matumizi hutoa ufikiaji wa huduma, na Vidakuzi vya Usalama hufafanua umiliki wa mali.
- DeFi inasimama kwa Fedha Zilizotawanyika, ikitoa huduma za kifedha bila mamlaka ya kati.
- DEX na DAOs hurejelea Jukwaa za Kubadilishana Zilizotawanyika na Mashirika Yaliyotawanyika ya Kujitegemea, mtawalia.
Mifumo ya Makubaliano
Mifumo ya makubaliano huhakikisha uthibitisho salama na uliokubaliwa wa miamala kwenye blockchain:
- Uthibitisho wa Kazi (PoW) unategemea nguvu ya kompyuta kwa uthibitisho wa miamala.
- Uthibitisho wa Hisa (PoS) unahitaji wathibitishaji kushikilia kiasi fulani cha vidakuzi, kupunguza matumizi ya nishati ikilinganishwa na PoW.
Mambo Msingi ya Bitcoin
Miamala
Miamala ya Bitcoin inahusisha kuhamisha fedha kati ya anwani. Miamala huthibitishwa kupitia saini za kidijitali, ikihakikisha tu mmiliki wa ufunguo wa faragha anaweza kuanzisha uhamisho.
Vipengele muhimu:
- Miamala ya Multisignature inahitaji saini nyingi kuidhinisha miamala.
- Miamala inajumuisha vyanzo (chanzo cha fedha), marudio (mahali pa kufikia), ada (iliyolipwa kwa wachimbaji), na maandishi (kanuni za miamala).
Mtandao wa Lightning
Lengo ni kuboresha uwezo wa Bitcoin kwa kuruhusu miamala kadhaa ndani ya kituo, ikibashiri tu hali ya mwisho kwenye blockchain.
Maswala ya Faragha ya Bitcoin
Mashambulizi ya faragha, kama Umiliki wa Pamoja wa Ingizo na Ugunduzi wa Anwani ya Kubadilisha UTXO, yanatumia mifumo ya miamala. Mikakati kama Mchanganyiko na CoinJoin huimarisha kutokujulikana kwa kuficha viungo vya miamala kati ya watumiaji.
Kupata Bitcoins kwa Siri
Njia ni pamoja na biashara ya pesa taslimu, uchimbaji, na kutumia mchanganyiko. CoinJoin inachanganya miamala kadhaa kufanya iwe ngumu kufuatilia, wakati PayJoin inaficha CoinJoins kama miamala za kawaida kwa faragha iliyoboreshwa.
Mashambulizi ya Faragha ya Bitcoin
Muhtasari wa Mashambulizi ya Faragha ya Bitcoin
Katika ulimwengu wa Bitcoin, faragha ya miamala na kutokujulikana kwa watumiaji mara nyingi ni mada za wasiwasi. Hapa kuna muhtasari rahisi wa njia kadhaa za kawaida ambazo wadukuzi wanaweza kuhatarisha faragha ya Bitcoin.
Udhani wa Umiliki wa Ingizo la Kawaida
Kwa ujumla ni nadra kwa vyanzo kutoka kwa watumiaji tofauti kuunganishwa katika miamala moja kutokana na ugumu uliopo. Hivyo, anwani mbili za vyanzo katika miamala moja mara nyingi huchukuliwa kuwa za mmiliki mmoja.
Ugunduzi wa Anwani ya Kubadilisha UTXO
UTXO, au Matokeo ya Miamala Yasiyotumiwa, lazima itumike kabisa katika miamala. Ikiwa sehemu tu inatumwa kwa anwani nyingine, salio linakwenda kwa anwani mpya ya kubadilisha. Wachunguzi wanaweza kudhani anwani hii mpya inamilikiwa na mtumaji, ikahatarisha faragha.
Mfano
Kupunguza hili, huduma za kuchanganya au kutumia anwani nyingi kunaweza kusaidia kuficha umiliki.
Mawasiliano kwenye Mitandao ya Kijamii & Vikundi
Watumiaji mara nyingine hushiriki anwani zao za Bitcoin mtandaoni, ikifanya iwe rahisi kuunganisha anwani na mmiliki wake.
Uchambuzi wa Grafu ya Miamala
Miamala inaweza kuonyeshwa kama grafu, ikifunua uhusiano wa uwezekano kati ya watumiaji kulingana na mtiririko wa fedha.
Heuristi ya Ingizo Isiyohitajika (Heuristi ya Kubadilisha Bora)
Heuristi hii inategemea uchambuzi wa miamala na vyanzo vingi na marudio kudhani ni marudio gani yanayorudi kwa mtumaji.
Mfano
2 btc --> 4 btc
3 btc 1 btc
Kuchanganya Anwani
Washambuliaji wanaweza kutuma kiasi kidogo kwa anwani zilizotumiwa awali, wakitarajia mpokeaji atachanganya kiasi hicho na vipande vingine katika shughuli za baadaye, hivyo kuunganisha anwani pamoja.
Tabia Sahihi ya Mfuko wa Fedha
Mifuko wa fedha inapaswa kuepuka kutumia sarafu zilizopokelewa kwenye anwani zilizotumiwa awali na zilizo tupu ili kuzuia uvujaji huu wa faragha.
Mbinu Nyingine za Uchambuzi wa Blockchain
- Mikataba ya Malipo Sahihi: Shughuli bila mabadiliko huenda kati ya anwani mbili zinazomilikiwa na mtumiaji mmoja.
- Namba za Mzunguko: Namba ya mzunguko katika shughuli inapendekeza ni malipo, na matokeo yasiyo ya mzunguko yanaweza kuwa mabadiliko.
- Uchunguzi wa Alama ya Mfuko wa Fedha: Mifuko tofauti ina mifumo ya kipekee ya uundaji wa shughuli, kuruhusu wachambuzi kutambua programu iliyotumiwa na labda anwani ya mabadiliko.
- Ulinganifu wa Kiasi na Wakati: Kufichua nyakati au kiasi cha shughuli kunaweza kufanya shughuli ziweze kufuatiliwa.
Uchambuzi wa Trafiki
Kwa kufuatilia trafiki ya mtandao, washambuliaji wanaweza kuunganisha shughuli au vitalu kwa anwani za IP, kuhatarisha faragha ya mtumiaji. Hii ni kweli hasa ikiwa taasisi inaendesha nodi nyingi za Bitcoin, ikiongeza uwezo wao wa kufuatilia shughuli.
Zaidi
Kwa orodha kamili ya mashambulizi na ulinzi wa faragha, tembelea Faragha ya Bitcoin kwenye Bitcoin Wiki.
Shughuli za Bitcoin Zisizo na Majina
Njia za Kupata Bitcoins kwa Siri
- Shughuli za Fedha Taslimu: Kupata bitcoin kupitia pesa taslimu.
- Chaguzi za Fedha Taslimu: Kununua kadi za zawadi na kuzibadilisha mtandaoni kwa bitcoin.
- Uchimbaji: Njia ya siri zaidi ya kupata bitcoins ni kupitia uchimbaji, hasa unapofanywa peke yako kwa sababu mabwawa ya uchimbaji yanaweza kujua anwani ya IP ya mchimbaji. Maelezo ya Mabwawa ya Uchimbaji
- Wizi: Kimsingi, kuiba bitcoin kunaweza kuwa njia nyingine ya kupata kwa siri, ingawa ni kinyume cha sheria na siyo kupendekezwa.
Huduma za Kuchanganya
Kwa kutumia huduma ya kuchanganya, mtumiaji anaweza kutuma bitcoins na kupokea bitcoins tofauti badala yake, hivyo kufanya kuandika mmiliki halisi kuwa ngumu. Hata hivyo, hii inahitaji imani kwa huduma hiyo kutokuweka kumbukumbu na kurudisha bitcoins halisi. Chaguzi mbadala za kuchanganya ni pamoja na kasinon za Bitcoin.
CoinJoin
CoinJoin inachanganya shughuli nyingi kutoka kwa watumiaji tofauti kuwa moja, ikifanya iwe ngumu kwa yeyote anayejaribu kulinganisha vipande vya kuingiza na vya kutoa. Licha ya ufanisi wake, shughuli zenye vipande vya kuingiza na vya kutoa vya kipekee bado inaweza kufuatiliwa.
Shughuli za mfano ambazo zinaweza kuwa zimetumia CoinJoin ni 402d3e1df685d1fdf82f36b220079c1bf44db227df2d676625ebcbee3f6cb22a na 85378815f6ee170aa8c26694ee2df42b99cff7fa9357f073c1192fff1f540238.
Kwa maelezo zaidi, tembelea CoinJoin. Kwa huduma kama hiyo kwenye Ethereum, angalia Tornado Cash, ambayo inaficha shughuli na fedha kutoka kwa wachimbaji.
PayJoin
Aina ya CoinJoin, PayJoin (au P2EP), inaficha shughuli kati ya pande mbili (k.m., mteja na muuzaji) kama shughuli ya kawaida, bila matokeo sawa yanayotambulika ya CoinJoin. Hii inafanya iwe ngumu sana kugundua na inaweza kufuta kanuni ya kawaida ya umiliki wa kuingiza inayotumiwa na taasisi za ufuatiliaji wa shughuli.
2 btc --> 3 btc
5 btc 4 btc
Transactions kama hiyo hapo juu zinaweza kuwa PayJoin, zikiboresha faragha wakati zikibaki isiyotofautishika na miamala ya kawaida ya bitcoin.
**Matumizi ya PayJoin yanaweza kuvuruga sana njia za ufuatiliaji za jadi**, ikifanya kuwa maendeleo yanayostahili katika harakati za faragha ya miamala.
# Mbinu Bora za Faragha katika Sarafu za Kielektroniki
## **Mbinu za Synchronization ya Pochi**
Ili kudumisha faragha na usalama, kusawazisha pochi na blockchain ni muhimu. Kuna njia mbili zinazojitokeza:
- **Node kamili**: Kwa kupakua blockchain nzima, node kamili inahakikisha faragha ya juu. Miamala yote iliyowahi kufanywa inahifadhiwa kwa kienyeji, ikifanya iwe haiwezekani kwa maadui kutambua ni miamala au anwani zipi mtumiaji anavutiwa nazo.
- **Uchujaji wa block upande wa mteja**: Njia hii inahusisha kuunda vichujio kwa kila block katika blockchain, kuruhusu pochi kutambua miamala inayofaa bila kufunua maslahi maalum kwa wachunguzi wa mtandao. Pochi nyepesi hupakua vichujio hivi, kuchukua bloki kamili tu wakati mechi na anwani za mtumiaji inapatikana.
## **Kutumia Tor kwa Anonimiti**
Kwa kuwa Bitcoin inafanya kazi kwenye mtandao wa rika-kwa-rika, kutumia Tor kunapendekezwa kuficha anwani yako ya IP, ikiboresha faragha unaposhirikiana na mtandao.
## **Kuzuia Kutumia Anwani Tena**
Ili kulinda faragha, ni muhimu kutumia anwani mpya kwa kila miamala. Kutumia anwani mara nyingi kunaweza kuhatarisha faragha kwa kuunganisha miamala kwa kitambulisho kimoja. Pochi za kisasa zinakataza kutumia anwani tena kupitia muundo wao.
## **Mbinu za Faragha ya Miamala**
- **Miamala mingi**: Kugawanya malipo katika miamala kadhaa kunaweza kuficha kiasi cha miamala, kuzuia mashambulizi ya faragha.
- **Kuepuka kubadilisha**: Kuchagua miamala ambayo haitahitaji mabadiliko ya pato inaboresha faragha kwa kuvuruga njia za kugundua mabadiliko.
- **Mabadiliko mengi ya pato**: Ikiwa kuepuka mabadiliko sio jambo linalowezekana, kuzalisha mabadiliko mengi ya pato bado kunaweza kuboresha faragha.
# **Monero: Ishara ya Anonimiti**
Monero inakabiliana na haja ya anonimiti kamili katika miamala ya kidijitali, ikiweka kiwango kikubwa cha faragha.
# **Ethereum: Gas na Miamala**
## **Kuelewa Gas**
Gas hupima juhudi za kihesabu zinazohitajika kutekeleza shughuli kwenye Ethereum, ikiwa na bei katika **gwei**. Kwa mfano, miamala inayogharimu 2,310,000 gwei (au 0.00231 ETH) inahusisha kikomo cha gesi na ada ya msingi, pamoja na bahasha ya kuhamasisha wachimbaji. Watumiaji wanaweza kuweka ada ya juu ili kuhakikisha hawalipi zaidi, na ziada kurudishiwa.
## **Kutekeleza Miamala**
Miamala kwenye Ethereum inahusisha mtumaji na mpokeaji, ambao wanaweza kuwa anwani za mtumiaji au mikataba ya akili. Wanahitaji ada na lazima wachimbwe. Taarifa muhimu katika miamala ni mpokeaji, saini ya mtumaji, thamani, data ya hiari, kikomo cha gesi, na ada. Kwa umuhimu, anwani ya mtumaji inahesabiwa kutoka kwa saini, ikiondoa haja ya hiyo katika data ya miamala.
Mbinu hizi na mifumo ni msingi kwa yeyote anayetaka kushiriki katika sarafu za kielektroniki huku akiprioritize faragha na usalama.
## Marejeo
* [https://en.wikipedia.org/wiki/Proof\_of\_stake](https://en.wikipedia.org/wiki/Proof\_of\_stake)
* [https://www.mycryptopedia.com/public-key-private-key-explained/](https://www.mycryptopedia.com/public-key-private-key-explained/)
* [https://bitcoin.stackexchange.com/questions/3718/what-are-multi-signature-transactions](https://bitcoin.stackexchange.com/questions/3718/what-are-multi-signature-transactions)
* [https://ethereum.org/en/developers/docs/transactions/](https://ethereum.org/en/developers/docs/transactions/)
* [https://ethereum.org/en/developers/docs/gas/](https://ethereum.org/en/developers/docs/gas/)
* [https://en.bitcoin.it/wiki/Privacy](https://en.bitcoin.it/wiki/Privacy#Forced\_address\_reuse)
<details>
<summary><strong>Jifunze kuhack AWS kutoka sifuri hadi shujaa na</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Njia nyingine za kusaidia HackTricks:
* Ikiwa unataka kuona **kampuni yako ikitangazwa kwenye HackTricks** au **kupakua HackTricks kwa PDF** Angalia [**MIPANGO YA KUJIUNGA**](https://github.com/sponsors/carlospolop)!
* Pata [**bidhaa rasmi za PEASS & HackTricks**](https://peass.creator-spring.com)
* Gundua [**Familia ya PEASS**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa [**NFTs**](https://opensea.io/collection/the-peass-family) za kipekee
* **Jiunge na** 💬 [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au kikundi cha [**telegram**](https://t.me/peass) au **tufuate** kwenye **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Shiriki mbinu zako za kuhack kwa kuwasilisha PRs kwa** [**HackTricks**](https://github.com/carlospolop/hacktricks) na [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>