15 февраля 2022

Безопасность & Web 3.0. Часть II. Примеры цифровых следов

TL;DR

Покажу, что обычные сервисы анализа данных знают о вас-как-о-кошельках. При этом попробую донести один простой тезис: блюсти безопасность и заниматься приватности нужно с первого шага и каждый день. В Web 3.0-открытых-системах — в первую очередь. 

Пролог

Всё тайное становится явным, а всё открытое (не) явно всегда, потому способ защиты здесь не один, но главный — быть далеко, когда иные приходят туда, где ты был годы, месяцы, дни, часы, минуты или даже секунды назад… 

Итак, в первой части описал азы, а сейчас попробую на собственной шкуре (aka примере) показать и доказать, что открытость — палка о двух концах и надо развивать ДРС (децентрализованные и/или распределённые системы), но ещё больше надо беспокоиться о собственной безопасности, анонимности, конфиденциальности и приватности: сразу.  И да, вот ещё ссылки по теме:

  1. Tor-нода, или IP на примерах;
  2. Вычисляем майнеров и не только;
  3. Для домохозяек.

А далее…

Дисклеймер

Пожалуйста, не повторяйте любые действия, описанные в ЭТОЙ статье, БЕЗДУМНО: они требуют взвешенного подхода НЕ только в техническом, но и организационно-правовом, экономическом и прочих аспектах. К тому же, рискуете собственными деньгами: помните об этом! Никакой ответственности автор и/или владельцы ресурсов не несут и нести не могут: материал написал исключительно в просветительских целях и за счёт собственных сил и средств Menaskop. 

От простейшего — к простому

Первое, что нужно сделать хотя бы однажды, изучая свой след в истории мульти-Сетей, — сходить на ресурсы, которые расскажут, что фингерпринтинг — не просто сложный, но и весьма важный и интересный термин:

  1. Техническая информация на этой странице написана мелким шрифтом, но она-то и есть — самая главная: https://yandex.ru/internet/ 
  2. Два более продвинутых примера:
    1. https://www.deviceinfo.me 
    2. https://firstpartysimulator.org 

В чём смысл? 

  • По языку, временной зоне и др. параметрам можно понять, что вы за человек и откуда: между прочим, люди, не ценящие приватность и анонимность, пытались по примерно таким данным (не браузерным, но временным расхождениям) вычислить Сатоши Накамото;
  • Когда знаете, СКОЛЬКО информации о вас собирает Сеть, сразу становится яснее, зачем TOR-браузер нужно открывать не на весь экран и зачем в принципе этот самый тор-проводник нужен (о том, как в РФ легально справляться с блокировкой — см. в видео первоисточника: заодно сразу себе зарубите на носу, что органы т.н. публичной власти могут нанять кого угодно, в том числе — продвинутых White & Black Hat-ов, чтобы сделать дивный и новый мир ещё более дивным и ещё менее новым, т.е. не нужно иллюзий на счёт того, что сейчас “я дам им в руки” некие инструменты, коих до того у них не было: нет, задача текста в ином — лишить иллюзий именно вас, а не помочь им);
  • Но главное: когда понимаете, что OSCPU и подобные параметры могут быть НАСТРАИВАЕМЫЕ, сразу (не моментально, но когда-то в обозримой перспективе) начинаете иначе смотреть на взаимодействие с любой программой, включая dApps-ы. 

Вот пример части модифицированных через TOR-браузер данных:

Menaskop & Web 3.0. 05

Подробней изучить можно и нужно — начать следует откуда угодно, скажем — с этих трёх частей: первая, вторая и третья соответственно. Дальше — идём на xakep.ru и аналогичные ресурсы, а пока — следуем вперёд: нас ждёт куда больше интересного и здесь!

Но сказанное — снова не совсем про Web 3.0. Но что же тогда? 

Здесь и далее попробую рассмотреть пример https://menaskop.eth.limo (ещё один резолв на https://menaskop.eth.link; ещё больше информации можно собрать через eth.xyz: например, https://menaskop.eth.xyz/), поскольку это этично (не затрагивает права и/или интересы других), практично (поскольку это мой тестовый адрес уже несколько лет), а, к тому же, ещё это и относительно безопасно, т.к. почти все средства в итоге ушли на благотворительности: пример №01, пример №02, пример №03. Остальные захотите — отыщите, 

а пока… 

Zapper.fi

Заходим на https://zapper.fi/ и авторизуемся:

Menaskop & Web 3.0. 04

И видим, что доступны все сети EVM-совместимых блокчейнов, как на L1, так и на L2 (это к слову — лучшее подтверждение, почему L3 крайне важен для приватности в открытых системах):

  • Ethereum;
  • Polygon;
  • BSC;
  • Arbitrum;
  • Optimism;
  • Gnosis chain (всего сетей — 11). 

Также можно узреть сразу все свои активы:

  • Собственно, те, что на кошельке (если будете использовать другой сервис, более близкий к Web 2.0, чем к Web 3.0, — etherscan, то найти по menaskop.eth тоже возможно аккаунт, а далее уже посмотреть взаимозаменяемые (ERC-20) и невзаимозаменяемые токены и нативные монеты; но беда в том, что придётся зайти ещё на Polygon Scan, BSC scan и т.д., что может быть крайне утомительно);
  • В депозитах;
  • В NFTs-шках;
  • И то, что доступно для claim-а (получения). 

Каждая из указанных категорий активов может быть детализирована

Скажем, NFTs содержат и “домены неубиваемые”, и планеты и прочие структурные элементы Urbit, и имена в Decentraland, и некогда созданные NFT-картинки, и много всего ещё, включая комнаты, здания и землю в метавёрсах:

Web 3.0 & Menaskop. 04

Не стоит забывать, что Uniswap v. 3.0 оборачивает ликвидность в NFT тоже!

Проще говоря — двумя с половиной кликами получаете доступ на всю раскладку по вашим активам, их истории и взаимосвязи. Это весьма полезный опыт с позиции юзабилити и крайне настораживающий с т.зр. безопасности. Но сервис отнюдь не одинок в своей стихии… 

Debank.com

Данная апка (https://debank.com/) — почти полный аналог предыдущей, но главная фича-отличие кроется в рейтинге: https://debank.com/ranking, который фактически раскрывает всем критерии оценки при определённых транзакционных характеристиках. Ещё одна интересность: https://debank.com/nft-collection — можно посмотреть популярные коллекции и понять свою вовлечённость в NFT-сегмент со стороны хайпа. 

Но главное, конечно же не в этом, а в том, что и здесь вы — полностью открыты, показав лишь адрес. Поэтому попробуем обратиться к братьям нашим старшим, нет не к Пушкину и Гоголю, но тоже к…

К классикам! Etherscan и прочее

Хотя сервис мне НЕ нравится, будем объективны — для многих именно он становится точкой входа в мир блокчейн-решений, поэтому попробую акцентировать внимание на не банальных его функциях, важных для трекшена:

  1. https://etherscan.io/mynotes_tx — часто сложно вспомнить порядок действий: скажем, не так давно тестировал мосты в 7 разных сетях и восстановить потом этапы — крайне непросто, между тем — этот раздел как раз позволяет понятный порядок установить (см. ниже скрин);
  2. https://etherscan.io/myaddress — можно поставить в лист наблюдения разные свои адреса и собирать данные по ним;
  3. https://etherscan.io/mynotes_address — поскольку запоминать адреса формата 0x….000 крайне сложно, можно дать им приватные названия: главное помните, что сидите на стандартном централизованном сайте и поэтому речь не должна идти о чём-то действительно секретном (или, используйте достижения стеганографии и криптографии в самих заметках);
  4. https://etherscan.io/tokenapprovalchecker — пожалуй, это самая важная из всех возможностей: об атаках по лимитам ещё поговорим, пока же важно понять и усвоить, что выданные разрешения о многом могут поведать относительно вашей истории в Web 3.0 мирах. Аналог инструмента можно найти в deBank, а, впрочем, давайте помогу с первой подборкой:
    1. Debank — см. выше;
    2. Dappstar — один из самых подробных трекеров разрешений, где можно увидеть не только лимиты и dApps-ы по ним, но и “кто” конкретно какой  апрув имеет: будь то DCL Controller, Swap Router или Non Fungible Position Manager;
    3. Approved.zone — минималистичный сервис, который при этом работу свою выполняет (по крайне мере — на предыдущих тестах);
    4. Ethallowance.com — собственно, собрат дзен-практик предыдущего сервиса;
    5. Достаточно на 1-й раз. 

Menaskop & Web 3.0. 02

К слову, раз уж про безопасность: не забывайте, что любой app & dApp может дублировать функции многих иных. И этим нужно пользоваться: это тоже уровень децентрализации. В частности, не ленитесь всегда, а перед использованием DeFi-продуктов — особенно, проверять адрес смарт-контракта токена. При этом стоит проделать хотя бы следующие шаги:

  1. Понять, что адрес — не проксирован: если проксирован, то кем, чем и зачем. Если не можете ответить на эти вопросы — лучше не лезьте: может, и не убьёт, но покалечит — почти наверняка (скажем, многие IDO-проекты прокси-смарты делают ради того, чтобы опередить снайпер-ботов при создании пула ликвидности: “снайпер-боты это автоматизированные программы, который покупают ваши токены в первые миллисекунды после листинга в большом объеме по самой низкой цене, с целью продать эти токены вашим инвесторам по завышенной цене”, а порой и через заморозку оной);
  2. Посмотреть адрес хотя бы на трёх ресурсах:
    1. На сайте/в документах: пример №Х;
    2. На CoinMarketCap (кстати, научитесь писать именно в таком, “горбатом”, стиле: так проще запоминать адреса и названия, а зачем — об этом ниже) или других агрегаторах: пример к примеру №Х;
    3. На том же Etherscan-е и/или его аналогах в других сетях;
    4. На GitHub и аналогах (GitLab и прочие);
  3. Обязательно порыскайте по байт-пространству в розыске аудитов: часть из них лежат на том же CMC, но часть придётся поискать руками на Гитхабе, сайте создателей токена и на других ресурсах, включая всевозможные dApps-ы, а также на ресурсах самих аудиторских компаний. Вот примеры аудиторов:
    1. Certik — одна из самых распиаренных, но не скажу, что лучших компаний на рынке;
    2. Quantstamp — ещё один лидер рынка, с которым, впрочем, встречаться приходилось лично реже;
    3. Отраслевые/нишевые проекты:
      1. iBer — одна из многих нишевых компаний, но которые делают куда более детальные аудиты, нежели “энтерпрайзы” с рынка;
      2. Smartstate — тоже хороший пример по теме относительно широты описательной базы;
  4. Лучше всего подписаться на несколько рассылок по теме, чтобы быть всегда начеку:
    1. Помимо стандартных алертов новостных от корпорации НЕ-Дора;
    2. Можно использовать, например: https://explorer.forta.network/
    3. Или более классический подход: https://www.securitylab.ru

Как бы там ни было, запомните главное: даже стандартными методами и сервисами можно достичь сильно большего, если клацать не по одной кнопке, а извлекать всё новые и новые ресурсы с глубин. 

Ещё один пример по этой теме…

MEW

Menaskop & Web 3.0. 01

Да, снова MyEtherWallet. И вот почему:

  1. https://www.myetherwallet.com/ru/wallet/dashboard  — можно посмотреть на все имеющиеся токены, в том числе — те, которые явно страдают скам-свойствами: будь то — FF9.io (не переходите по ссылке без надобности); или, допустим, xRES.org (тоже не переходите по ссылке): рекомендую при этом использовать хотя бы EtherAddressLookup, чтобы по очевидно чёрным доменам не шастать среди ночи тёмной иль дня белого;
  2. https://www.myetherwallet.com/ru/wallet/nft — пока что самый подробный NFTs-менеджер из общеизвестных, хотя и здесь есть, куда развиваться;
  3. https://www.myetherwallet.com/ru/wallet/dapps/ — домены и стейкинг тоже доступны к проверке. 

Но главное-то не в этом, а в том, что теперь все эти интерфейсы доступны для множества сервисов, например… 

Dappstar

Но, если предыдущие ресурсы были плюс/минус схожи, то https://deepdao.io/dao_tools  — весьма уникален: говорил о нём в 3-й части DAO-книги, но здесь он важен именно с позиции трекшена. 

Порядок действией следующий:

  1. Заходим на https://deepdao.io/dao_tools
  2. Ищем menaskop.eth;
  3. Находим уже не только токены стандартные, но и governance, то есть голосующие.

Menaskop & Web 3.0. 00

Поскольку примеры все тестовые — многого не ищите, но суть от того не изменится:

  1. DAOs все ваши как на ладони;
  2. Голосова в них — тоже;
  3. Даже статистика по предложениям.

Впрочем, что касается голосования и участия где-либо многое открывается через старые и добрые форумы. Примеры:

  1. https://discuss.ens.domains (к примеру выше);
  2. https://bitcointalk.org (впрочем, тут придётся потрудиться и это именно архив за первые годы);
  3. https://www.reddit.com (хотя это давно больше, чем форум);
  4. https://forum.exploit.in и подбные, где уже уровни доступа;
  5. https://forum.bits.media и (НЕ) многие другие в RU-сегменте.

В любом случае на форумах люди спрашивают вскользь, задают конкретные вопросы, отвечают, глумятся и прочее, а значит — оставляют данные. При этом часто — достаточно одного фото, чтобы узнать о вас больше: скажем, так я находил людей, выбирая из коллажа нечто значимое, а порой — находя явно NFT-шку и разыскивая её на OpenSea, Rarible и прочих ресурсах продаж первичных (возможно, об этом когда-то тоже будет история). Пока же — несколько простых ссылок для того, чтобы не было иллюзий:

  1. https://yandex.ru/images/ 
  2. https://www.google.com/imghp?hl=ru 
  3. https://tineye.com 

Попробуйте для примера выудить фото вот из этого аватара и вставить его в перечисленные 3 ресурса: https://chainik.io/tx/Mt5939ebc9e4fac20657ae9718852d024a0df518334ebcea96d48ef7ceaf5c80cf, а пока перейдём к разделу под названием… 

Неочевидные находки

Помните статью о фейковых криптовалютах? Так вот что меня там поразило: автор, критикуя Эфир, даже не знал о том, что никакого премайна не было, а было самое обычное, во всех смыслах — стандартное, ICO. И все данные зафиксированы в Genesis-блоке. А значит? А значит их оттуда можно выудить. Например, вот отсюда: https://github.com/ethereum/trinity/blob/master/trinity/assets/eip1085/mainnet.json

Но не думайте, что и этот примитив никто не выполняет. Вот ссылки:

  1. https://getblock.net 
  2. https://amlbot.com/ru/ 
  3. подобные. 

Собственно, как проводится скоринг на их стороне? Берётся адрес и делается реверс-анализ от него и до условного генезиса. Никакой магии. Об этом, возможно тоже поговорим: если статья зайдёт и будет фидбек, а пока вот ещё пара простых вещей. 

Защите себя

Многие из нас любят статистику, аналитику “и вот это вот всё”? Думаю, да. Потому что цифры и факты всегда интересны в мире вечной неопределённости. Другое дело — умеем ли мы с ними работать? Вот пример банальный: видите вложение в yield farming пул с “неплохим процентом”, как пишут хайповые блогеры, и дальше? Идёте ли вы сопоставлять данные с рынком и конкретным сегментом/нишей? Скажем: 

  • https://dune.xyz/hagaetc/dex-metrics: начнём с простого — попробуем выявить основные показатели DEXs/DeFi-площадок, чтобы уже потом понять, стоит ли вообще делать последующие шаги;
  • https://bitinfocharts.com/cryptocurrency-charts.html: спам мемпула и прочих сущностей в чейне — сам по себе показатель возможной атаки и/или хайпа, поэтому не проходите мимо;
  • https://ethgasstation.info: а уж стоимость газа и особенно — динамика по нему — показатель, без которого не обходится ни один мой аналитический отчёт для себя, клиентов, друзей;
  • https://www.ethernodes.org/history: если хотите вникнуть в разницу показателей, то сопоставьте с  https://etherscan.io/charts
  • https://www.defipulse.com: возьмите TVL за последние 30 дней и сопоставьте, скажем, с годовой, а лучше — трёхгодовой динамикой: удивитесь, сколько отрицательных показателей схвачено некогда “самым доходным рынком современности”. Но что это вам даст? Как минимум — понимание медианного процента (именно не среднего, а медианного), от которого уже можно отплясывать как от печки;
  • https://defimarketcap.io: далее можно уже сопоставить по протоколам/площадкам, а уже потом — по конкретным парам, пулам и т.п. Да, например, на этом ресурсе;
  • https://furucombo.app/invest: ещё альтернатива (а почему бы и нет?);
  • https://etherscan.io/yieldfarms: и ещё (тут, к слову, уже есть что с чем сравнивать, несмотря на всё ещё бету);
  • https://harvest.finance: и ещё: и нет, я не устану повторять, потому как:
    • во-первых, централизованным ресурсам, сайтам — том числе, доверия нет;
    • во-вторых, лучше больше, да лучше, потому как практика моя доказала, что данные могут кэшироваться, грабиться и в целом собираться и передавать по-разному, а порой это крайне важно;
  • https://rugdoc.io/chain/iotex/: кроме того, не всегда можно в лоб найти ресурсы по сети, особенно, если это не Ethereum или даже не EVM-совместимая сеть;
  • https://cryptorank.io/ru/ath: не все знают про ATH (не ETH), но кто знает, тот понимает, что этот этот параметр, пусть в аппроксимированной модели, имеет таки прямую корреляцию и с TVL и с APY, а значит? А значит — стоит его посмотреть, если есть возможность (а она не всегда есть: для новых активов так уж точно);
  • https://eidoo.io/erc20-tokens-list: проверьте, что есть по токену тут и есть ли вообще;
  • https://data.bandprotocol.com/: и не забывайте про оракулов именно: chainlink — это хорошо, но далеко не всё, что представлено на рынке.

Плюс ко всему — введите элементарные правила цифровой гигиены:

  1. Не проверил по методике 4К? Не берись!
  2. Не создал собственную логику доп. проверок после 4К? Не берись!
  3. “Не лепи куда попало!” В том смысле, что не все токены одинаково полезны: NFTs — в том числе

Скажем, есть такая атака: 

  1. Вам засылают токены;
  2. Вы их пробуете менять;
  3. Как правило, это один худосочный пул где-нибудь на панкейке;
  4. После этого злоумышленник восстанавливает весь трекшен и анонимизирует ваш кошелёк. 

К тому же эту атаку легко совместить с другими:

  1. Выдали неверные аппрувы — всё, считайте денег нет;
  2. Можно вычислить email (в моём случае это просто: menaskop.eth => menaskop[.]gmail.com) и отправить туда фишинговое, а то и трояносодержащее письмо;
  3. Можно попробовать набить спам-уведомлений в календарь: мол, airdrop-заканчивается, а токены ваши сгорят и всё в этом духе — лишь бы вы посетили заветный сайт или даже XSS-атака будет более умной и сразу через MetaMask. 

Поэтому правило простое: не торопитесь. Произошёл форк и вам должны начислить новые монеты? Подождите. Почитайте новости, аудиты кода и т.д. Начислили токены через airdrop? Подождите. Посмотрите, через какие пулы/DEXs/CEXs/OTC (?) идут обмены, кто и сколько “сливает”, hodl-ит и т.д. Не обязательно ждать долго и читать много, но элементарное — нужно. Всё ведь дело в том, что от первого шага зависит целый путь: сделал небезопасный мультисиг? Пролетел с ICO. Добавил в пул слишком много не заблокированной ликвидности? Пролетел с DeFi. Купил на хайпе дорогущий ASIC перед взлётом сложности и полётом в тартарары цены? Пролетел с майнингом. Но главное — оставил везде свой цифровой след, по которому тебя нашли, вычислили и залили сверху и снизу одновременно. Оно того стоило?.. 

Само-организуйся!

Итак, подбираемся к самой важной части любого обучения — к самоорганизации: не так значимо, зачем именно учили sin 30 градусов или таблицу умножения, или даже “Анчар” А.С. Пушкина — важно, что ВСЁ ЭТО породило устойчивые нейронные связи, которые, надеюсь, сделали вас умней, честней и интересней. 

Недаром ещё Кун-цзы говорил: “Я слышу и забываю.Я вижу и запоминаю. Я делаю и понимаю”. Пробовать в деле — первый завет любой творческой профессии: от хакинга до плотницкого искусства. 

Но в чём же может состоять искусство описанных процессов? 

Как минимум, в том, чтобы попробовать разные сущности и научиться их готовить: недаром же DeFi-сегмент содержит так много Sushi, Pancake и прочих едовых принадлежностей? 

Давайте предметно. Вот стейкинг, а вот — фарминг: готовы назвать хотя бы три отличия? А больше? Например:

  1. Стейкинг предполагает заморозку нативной монеты и/или иного актива для обеспечения стабильной и безопасной работы сети (скажем, при (псевдо) консенсусе PoS-семейства), тогда как фарминг замораживает активы для целей иных, например, в качестве залогового обеспечения работы микро-ДАО; 
  2. Также стейкинг, скажем, ATOM, IoTex, SOL, DOT, ETH2,  прочих  свойственен для моно-активов, тогда как фарминг — для разных (от 2х и более, а если учесть прокладки деривативов — то многим больше);
  3. Кроме того, стейкинг не предполагает выдачу LP (Liquidity Providing) или вторичной ликвидности в виде NFT/wNFT (Uniswap, ENVELOP);
  4. Есть и другие отличия, но…

Что это даёт в итоге?

Рынок вторичной и ликвидности обеспеченной ещё больших порядков — направление, которое позволит HODL-ить с достатком и при этом иметь на руках подтверждённый актив для, скажем так, экстренных переводов. Пример. Если совсем просто, то нативные монеты, если это не Zcash, Monero и иже с ними, под неким условным колпаком и не всегда это может быть правильным решением (хотя ещё раз: я — за открытость, но при сохранении кварковой связи с двумя другими принципами Web 3.0). 

Это же касается рынка активов обёрнутых, таких как wBTC в сети Ethereum или wETH в сети Polygon. Не забывайте: KYC процедуры работают обычно в одни ворота и сегодня BTC от майнеров — самые “белые и пушистые”, а уже завтра могут стать “не экологичными”, а значит и не угодными рынку. Поэтому крайне важно научиться в рамках крипто-оффшора:

  1. Лавировать между L0-L1-L2-L3 и стараться делать это незаметно;
  2. Для этого следует изучить один из следующих моих материалов, посвящённых мостам и прочему swap-инструментарию, а заодно и понять, что теперь эти самые мосты можно использовать не только для нативных монет, газа (как отдельного крипто-ассета), невзаимозаменяемых токенов, но и для куда более сложных структурных элементов; 
  3. Сколько бы ни касались Web 2.0 проблем в мире Web 3.0, крайне важно осмыслить, что в открытых системах стоит работать всегда с оглядкой на то, что сильные стороны могут стать слабыми при потребительском подходе: когда ликвидность — не морозится, аппрувы не обновляются, смарт-контракты не проверяются / не верифицируются / не аудируются, а транзакционная репутация аккаунтов не валидируется. 

В конечном счёте для крипто-активов именно важен не просто факт владения, но использования и распоряжения. Видеть баланс могут многие (кроме ряда систем), а вот воспользоваться им — нет. И правило: “мой приватный ключ == мои деньги” работает как швейцарские часы, если… умеете им пользоваться. 

Поэтому посмотрите вот в каких векторах:

  1. Деньги на аккаунтах валидаторов и прочих супер-узлов, наверное, будут когда-то морозиться по запросу, но пока… это, скорее, способ выдать права на распоряжение активом, который принадлежит как бы вам, но как бы и нет, а значит… тут давайте продолжите логику сами; 
  2. Это же касается фарминг-историй (включая т.н. лендинг): средства в пуле ликвидности и/или ином другом — уже не средства на вашем аккаунте и claim-операции тоже не обязательно всегда делать сразу и даже — не всегда на owner-аккаунт;
  3. UTXO + Taproot — даже не первый, но далеко и не худший вариант для начала хранения с приставкой “мульти”: к слову, Gnosis Safe тоже имеет возможность взаимодействия прямого со смарт-контрактом, а значит? А значит у вас будет передача, скажем, в DAO-сейф активов с трансфигурацией (U) в качество со-собственника и с последующей передачей токенов в тот же фарминг, а далее уже — на что фантазия богата;
  4. Мосты разного рода (в широком смысле, если хотите) помогают подняться с уровня L1 на L2 (и даже уже L3) или же опуститься до L0, а значит? А значит, можете попробовать DeFi-практики через обёрнутый, а не основной актив, совершив при этом реверс-инженеринг мысли, а точнее — ассетов: так, чтобы KYC-боты чтили их белыми, а г-органы не сочли за собственность важнейшего из людей (U); 
  5. Анонимные криптовалюты, не важно, основанные на кольцевых подписях и иже с ними (https://en.bitcoin.it/wiki/CoinJoin), на ZK-механиках, на чём-то ещё — одна из ветвей будущего, но при этом крайне важно понимать, что есть ряд уязвимых мест: если это майнинг — то пулы/другие начальные точки “производства” монет, если PoS-семейство, то о нём много раз сказал — повторяться не буду. Конечно, зная начало пути, не факт, что узнаешь его завершение (отличный пример — остаточная намагниченность и мифы о ней, если точнее, но факт, что лишь 4% пользователей Zcash использовали не так давно смешивание транзакций. А значит? Да, значит пока безопасность их не волнует: а вот вас — должна;
  6. Пожалуй, самое главное, на чём бы рекомендовал сосредоточиться: а) технически — на работе ГРК (глобальных распределённых компьютеров); б) экономически-организационно — на каналах и роллапах (см. пример видео и статьи вне моего Hub-а); в) на работе с обеспеченной ликвидностью на уровне фрактализации как глобальной (L3; поддержка супер-узлов смежных чейнов и т.п. ), так и локальной (фрактализация / шардинг NFTs); г) на DAOs как на главном инструменте ликвидности финансовой и репутационной. 

Иначе возникнет вот какая ситуация:

  1. Вы будете открыты;
  2. Правительства рано/поздно, но привяжут CBDC к каждому от рождения;
  3. Налог будет платиться не с дохода/расхода, а с транзакции;
  4. Но при этом средств защиты от нелегитимного вмешательства (как в кризис на Кипре 2012-2013 гг. или в кризис 2008 в США и в т.п. случаев) у вас попросту не останется. 

Подумайте об этом, а пока — 

До!

P.S. Говорящая цитата  про TOR

И, чтобы ни казалось всё изложенное выше надуманным: «В России получилось заблокировать и то и другое [и мосты, которые раздавались через Tor Браузер и транспорт Snowflake]… Мы на самом деле удивились, как это технически было сделано… Организация, которая занимается блокировками в России, смогла как-то перебрать адреса почти всех мостов, которые раздавали через механизм Moat, встроенный в Tor Браузер. То есть основной способ, при помощи которого пользователи получали мосты, не работал, потому что сами мосты были заблокированы. Другие способы работали, например можно было запросить мосты через email… Но на email можно писать только с адресов на Gmail или Riseup, потому что если разрешить писать с любого домена, то те, кто занимается блокировкой, смогут сделать много адресов и таким образом перебрать все мосты. И они реально заблокировали IP-адреса мостов. Как они смогли их перебрать — хороший вопрос. Наверное, разгадывали CAPTCHA, делали запросы с разных адресов, но тут я могу только догадываться… 

Snowflake использует механизм, когда трафик выглядит, как будто пользователь участвует в видеоконференции, это называется WebRTC. И они реально нашли, чем отличается трафик нашего протокола и официальный обычный протокол, который используется в браузерах. И это совсем маленькая разница, но с ее помощью они обнаруживали и блокировали Snowflake. Это называется фингерпринтинг… Но тут нам повезло, у нас крутые люди в команде, и они быстро поняли, в чем проблема и мы решили ее за несколько недель. Сейчас Snowflake в России работает… «Когда мы обнаружили, что блокируются мосты, которые раздавались через Tor Браузер, мы попросили сообщество развернуть больше мостов. И мы перестали раздавать на Россию старые адреса мостов и стали раздавать только новые. И эти новые адреса работали несколько недель. А потом те, кто осуществляют блокировки, сориентировались, и смогли получить новые адреса. То есть происходит отслеживание и обновление правил блокировки, но это происходит не постоянно, а время от времени. Поэтому мы знаем, что все, что мы делаем, проработает пару недель в худшем случае”.

Обсудить в Discord!