نوشته های MΞHDI

بازگرداندن دارایی مخفی‌شده در شبکه! شعبده‌بازی - پرده‌ی دوم

MΞHDI — Thu, 21 Oct 2021 17:45:09 +0330

اگر بخش اول از این نوشته با عنوان «بازگرداندن دارایی مخفی‌شده در شبکه! شعبده‌بازی - پرده‌ی اول» رو خونده باشین، احتمالاً متوجه وجود یک شائبه در اون شدین، و اون هم این بود که ما هرزمانی، به هر‌مشکلی در‌مورد کیف‌پولمون خوردیم، می‌تونیم اون ۱۲ کلمه رو به افراد دیگه بسپریم تا برامون مشکل رو حل کنن. امّا داستان از این قراره که چه بدونین و چه نه، اون ۱۲ کلمه کلید دسترسی به تموم دارایی‌های شما روی بسیاری از شبکه‌های موجوده و این بود که خودم رو ملزم دونستم هرچه سریع‌تر بخش دوم این مطلب رو آماده کنم و در همین ابتدای مطلب بنویسم که:اون ۱۲ کلمه باید برای شما مثل یک راز مگو باشه. رازی که اون رو تا حد امکان از دیگران دور نگه می‌دارین و سعی می‌کنین جایی حرفی ازش نزنین. اگرهم روزی این راز برملا شد سریعاً تمام راه‌های دسترسی به اطلاعات بیشتر رو از بین می‌برین.در این مطلب، سعی کردم بحث زیر رو خیلی کوتاه بررسی کنم:یک راه‌کار امن برای بازگرداندن دارایی‌ای که به اشتباه بین شبکه‌های بر‌پایه‌ی اتریوم منتقل شده است.هم‌چنین می‌تونین به نوشته‌ی دو راه‌کار ساده، اما کارآمد، برای افزایش امنیت نمانیک، از همین سری، برین و اگر راه‌کارهای خوبی در این رابطه دارین با من و کسایی که این نوشته رو می‌خونن درمیون بذارین.یک راه‌کار امن برای بازگرداندن دارایی‌ گم‌شده در بین شبکه‌های اتریومیخب اگر از مطلب اول یادتون باشه ما گفتیم که شما به یک آدرسی که متعلق به شماست، دارایی فرستادین، اما فقط به‌دلیل اشتباه در انتخاب شبکه در زمان ارسال، این دارایی به همین آدرس، ولی روی یک شبکه‌ی اشتباه، ارسال شده و تو این خطا [که به‌دلیل ساختار آدرس‌ها، عموماً برای شبکه‌های اتریومی پیش میاد] شما فقط نیازه به شبکه‌ی موردنظر متصل بشین و به دارایی‌تون روی اون شبکه دسترسی پیدا کنین. این فرایند فقط نیازمند اینه که به کلید خصوصی اون آدرس دسترسی داشته‌باشیم (به‌سبک استاد جواد خیابانی ?: که چون صاحب آدرس شمایین، پس حتماً بهش دسترسی دارین) و به‌وسیله‌ی یک پروتکل RPC مناسب بتونیم، برای بازگردوندن اون دارایی، یک تراکنش امضا کنیم.برای این‌که از داستان اصلی دور نشیم، باید بگیم که، این دقیقاً کاریه که سرویس شخص‌ثالثی مثل متامسک براتون انجام میده و شما فقط لازمه ابتدا اون آدرس رو توی متامسک Import کنین و بعد به‌وسیله‌ی اتصال به شبکه‌ی مدنظر از طریق قابلیت Add Custom RPC به داراییتون دسترسی پیدا کنین.ولت نرم‌افزاری متامسک قابل‌استفاده برای تعامل با شبکه‌های اتریومی چه‌طور آدرس مدنظر رو در متامسک درون‌ریزی (Import) کنیم؟دو حالت وجود داره. یا شما روی یک اکستنشن مرورگر متامسک خام (استفاده‌نشده) این کار رو انجام میدین، یا این‌که یه تعدادی آدرس از قبل روی اکستنشن موجوده و شما می‌خواین آدرس جدیدی به لیست اضافه کنین.در حالت اول، شما این امکان رو دارین که مستقیماً به کمک ۱۲ کلمه و Import an account using seed phrase این کار رو انجام بدین.درون‌ریزی آدرس‌ها به کمک عبارت یادآورامّا در حالت دوم، یه‌مقداری ممکنه کار پیچیده باشه و شما مجبور باشین کلید خصوصی آدرس رو با سختی بیشتری به‌دست بیارین، چون اگر اشتباه نکنم، متاسفانه تراست‌والت گزینه‌ای برای Export Private Keys پیش روی شما نمی‌ذاره. توی این حالت ممکنه شما ابتدا مجبور بشین از سرویس‌ها و کیف‌پول‌های دیگری که، بعد از ورود ۱۲ کلمه، برای هر آدرس مجزا، بهتون کلید خصوصی رو میدن (مثل Coin98) استفاده کنین و بعد از طریق بخش Import Account توی متامسکتون، کلید خصوصی (یا یک فایل جیسون) رو وارد و آدرس رو درون‌ریزی کنین.نحوه‌ی Import کردن یک حساب در متامسکحالا تنها کار باقیمونده اینه که فرایند Add Custom RPC رو انجام بدین. از بخش تنظیمات متامسک، به قسمت Networks برین. با کلیک روی Add Network باید فیلدهای خالی رو پر کنین. همون‌طور که توی تصویر می‌بینین، متامسک بهتون اخطار داده که وارد کردن اطلاعات اشتباه در این بخش باعث میشه، اطلاعات شما، توسط تامین‌کننده‌ی اون شبکه‌ی جعلی، ردیابی بشه و ازشون استفاده بشه، پس بهتره حتماً این اطلاعات رو از جای معتبری، مثل این، دریافت و وارد کنین.اضافه‌کردن شبکه به متامسکاطلاعات RPC برای مبین‌نت و تست‌نت شبکه‌ی اسمارت‌چیناگر احساس می‌کنین ممکنه توی پیدا‌کردن اطلاعات درست به اشتباه بیفتین، بهتره از DAppای مثل Chainlist.org استفاده کنین و بعد توی اون با وصل‌کردن متامسک، شبکه‌های مختلف رو اضافه کنین.اضافه کردن RPC شبکه‌های مختلف به متامسک با کمک چین‌لیست - در تصویر: شبکه‌ی BSC یا BEP20حالا شما به اون آدرس و دارایی‌ای که به اشتباه روی شبکه‌ی مدنظر فرستاده بودین دسترسی دارین.شمای متامسک پس از اضافه‌شدن شبکه‌ی توموچیناگر تجربه‌ای در زمینه‌ی ارسال دارایی به شبکه‌ی اشتباه و هم‌چنین طریقه‌ی حل این مشکل دارین، توی توییتر من یا در نظرات همین پست بنویسین تا بقیه هم بتونن از تجربیات شما استفاده کنن.

دو راه‌کار ساده، امّا کارآمد، برای افزایش امنیت عبارت یادآور (Mnemonic)

MΞHDI — Thu, 21 Oct 2021 17:32:48 +0330

هولدردیسک فلزی ساخته‌ی شرکت HODLR DISKSهمون‌طور که احتمالاً تا الان متوجه شدید، با هر مقدار سرمایه‌ای که توی والت‌هاتون موجوده، بهتره فقط و فقط خودتون عبارت یادآورتون رو بدونین و اون‌رو به‌دست هیچ‌کسی نسپرین. گرفتن اسکرین‌شات، نگه‌داشتن کلمات روی فضاهای‌ابری، و هرچیزی غیر از نوشتن کلمات روی کاغذ (و چیزهای جذاب دیگه‌ای که در ادامه‌ی مطلب بهشون اشاره می‌کنیم)، می‌تونه دارایی شما رو در معرض خطر قرار بده.پس نه‌تنها بهتره که این کلمات رو فیزیکی و در یک‌جای امن نگه‌دارین، بلکه بهتره سعی کنین از راه‌کارهایی استفاده کنین، که درجه‌ی امنیت نگهداری رو بالا ببره.یکی از این راه‌کار‌ها اینه که در موقع نگه‌داری کلمات، حتی خود کلمات رو با روش‌هایی مثل Caesar-Cipher، رمزنگاری کنین. اگر هم کمی مثل من می‌خواین حساسیت بیشتری به‌خرج بدین، می‌تونین حتی ترتیب کلمات رو به‌هم بریزین و بعد ترتیب درست و متد رمزنگاری رو روی یک کاغذ مجزا و دور از کاغذ اصلی نگه‌داری کنین.متد سایفر به‌صورت شماتیکاگر نمی‌دونین روش سایفر چیه، به این سایت برین تا بتونین به‌کمک انواع روش‌ها متن‌هاتون رو رمزنگاری/رمزگشایی کنین. اگر هم کمی اهل کدنویسی هستین، پیشنهاد می‌کنم یه‌سری به این مطلب بزنین.اعمال روش سایفر با ۷ شیفت در حروف برای سه کلمه‌ی Mehdi، Masoud و BitBanبه مثال زیر توجه کنید:رمزنگاری شخصی عبارات یادآورخب حالا کافیه کاغذ اول رو از بین ببرین و دو کاغدی که با رمزنگاری و به‌هم ریختن ترتیب کلمات به‌دست اومده رو در دوجای امن و دور از هم نگه‌داری کنین تا در موقع نیاز بتونین با اون دو کاغذ، کاغذ اصلی رو بازیابی کنین.البته شاید در نگاه اول نشه متوجه منظور مثال شد، و صد‌البته الزامی هم وجود نداره که شما از این‌چنین روش سخت‌گیرانه‌ای استفاده کنین، امّا قطعاً با کمی دقت متوجه منظور مثال می‌شید و این‌که من هم تلاش می‌کنم، اگر فرصت شد، یک کد آفلاین برای این‌کار بنویسم و در اختیارتون قرار بدم و اگر هم سوالی در این‌مورد داشتین تو توییتر جواب بدم.خب حالا برسیم به راه‌کار دوم! پیشنهاد می‌کنم اول سری به سایت HODLR DISKS بزنین! از‌قضا این شرکت سوئیسی مراحل ساخت این هولدر‌دیسک‌ها رو به‌صورت متن-باز روی گیت‌هابشون قرار دادن و خوش‌بختانه وبسایت فارسی جنبل هم این وسیله‌ی کاربردی که به‌صورت فیزیکی از نمانیک شما محافظت می‌کنه رو برای فروش دارن. اگر از قیمت بالای این وسیله بگذریم، هولدردیسک یا نمونه‌های مشابهی که شرکت‌هایی مثل SafePal ارائه میده، می‌تونن نمانیک (این‌جا منظور نمانیک رمزنگاری‌شده هم هست) شما رو به‌صورت فیزیکی و خیلی شیک محافظت کنن. اتفاقاً توییتر مجموعه‌ی جنبل هم، در این لحظه، یک مسابقه‌ی توییتری داره که پیشنهاد می‌کنم سریعاً بهشون سر بزنین. اگر هم حس کردین این هولدر دیسک‌ها به‌کارتون میاد، شاید بد نباشه این خرید رو از مجموعه‌ی خوبشون انجام بدین.هولدردیسک HOLDRمحافظ سید سایفر، ساخته‌ی شرکت سیف‌پلدر پایان، اگر سوال یا نکته‌ای دارین، یا راه‌کار جالبی برای افزایش امنیت این ۱۲کلمه‌ی حساس و مهم دارین، خیلی خوشحال میشم توی بخش نظرات با من و بقیه درمیون بذارین.

بازگرداندن دارایی مخفی‌شده در شبکه! شعبده‌بازی - پرده‌ی اول

MΞHDI — Wed, 20 Oct 2021 22:18:51 +0330

با اقتباس از How To Recover Funds Sent to a Wrong Public Addressمحافظ فیزیکی عبارت یادآور سایفر، ساخته‌ی شرکت سیف‌پلامروز به توییتی از ضیا صدر عزیز برخوردم که توی اون نوشته بود «هرگز؛ هرگز؛ هرگز» نباید کلمات بازیابی رو جایی منتشر کنیم. قطعاً مقوله‌ی امنیت همواره یکی از مهم‌ترین بخش‌های زندگی ماست و در مورد دنیای کریپتو هم اتفاقاً این موضوع باید اهمیت دوچندانی داشته باشه، اما آیا این قضیه با همین شدت و حدت قابل‌تعمیمه و هیچ حالتی وجود نداره که ما مجبور باشیم این ۱۲ کلمه (Mnemonic‌ها در حال حاضر متشکل از ۱۲ تا ۲۴ کلمه هستند) رو یواشکی در گوش کسی بگیم؟ برای پاسخ دادن، اول بذارین ببینیم که عبارت یادآور یا نمانیک چی هست و چطوری می‌تونه این همه اطلاعات رو تو خودش نگه داره و تا این حد مهم باشه!در واقع Mnemonic یا Seed phrase رو می‌تونیم به‌عنوان کلید یادآوری اطلاعات زیادی بدونیم که توی بحث ما می‌تونن براساس استانداردهای مختلفی تولید بشن. بذارین یک مثال بزنم! توی دوران مدرسه احتمالا برای یادآوری رنگ‌های رنگین‌کمون از عبارت «قنزسانب» استفاده می‌کردین.قرمز، نارنجی، زرد، سبز، آبی، نیلی و درنهایت بنفش.نمانیک (عبارت یادآور) هم دقیقاً همین کارایی رو داره و می‌تونه با کمک تعدادی کلمه و یک استاندارد مشخص مثل BIP39، بی‌نهایت آدرس، کلید عمومی و کلید خصوصی تولید کنه.از اون‌جایی که آدرس شبکه‌های EVM-Based از یک ساختار مشخص تبعیت می‌کنه (منظور همون آدرس‌هایی هست که با 0x شروع میشه و اگر دقت کرده باشین می‌بینین که شما با یک Seed phrase به اون آدرس در تموم شبکه‌های بر پایه اتریوم دسترسی دارید و همین ممکنه موجب بشه شما بعضی وقتا به‌خطا بیفتید)، پس تصور همچین سناریویی دور از ذهن نیست:فکر کنین شما ۱۰۰۰ عدد از کوین TOMO رو روی یک صرافی دارین. از اون‌جایی که توکن تومو روی شبکه‌ی اتریوم هم یک آدرس قرارداد داره، پس صرافی احتمالاً دو گزینه پیش‌پای شما می‌ذاره؛ انتقال در شبکه‌ی TomoChain یا ERC20.شما قصد دارین این دارایی رو بفرستین به یک Multi-Chain wallet روی TrustWallet و قصد دارین اون رو روی شبکه‌ی اتریوم نگه‌داری کنین. میرین آدرس اتریومتون رو کپی می‌کنین، اما فقط یک اشتباه کوچیک انجام میدین. شبکه‌ی انتقال رو که به‌صورت پیش‌فرض روی TomoChain بود تغییر نمیدین و مراحل ارسال رو پی می‌گیرین، اما هرچقدر منتظر می‌مونین چیزی روی والتتون دریافت نمی‌کنین.چی شد؟ مشکل از کجاست؟ اگر آدرس رو اشتباه وارد کردین پس چرا صرافی هیچ خطایی درمورد شبکه ازتون نگرفت؟خب، این برمی‌گرده به این‌که هردوی این شبکه‌ها یک مسیر اشتقاق (Derivation Path) مشابه دارن و درواقع توموچین یک شبکه‌ی برگرفته از اتریوم هست و آدرس‌هایی که این دو شبکه دارن کاملاً مشابهه، پس صرافی هم هیچ خطایی از شما نمی‌گیره، در حالی که شما دارایی رو به آدرسی فرستادین که در حالت عادی بهش دسترسی ندارین و توی یک فضای بی‌نهایت گم شده.نکته: مسیر اشتقاق رو می‌تونیم کدی بدونیم که هر شبکه برای خودش رزرو می‌کنه تا به‌وسیله‌ی اون بتونه با کمک نمانیک، آدرس‌ها، کلیدهای عمومی و خصوصی منحصر به‌فرد خودش رو بسازه. به‌طور مثال مسیر اشتقاق برای مین‌نت اتریوم مقدار "m/44'/60'/0'/0" و مسیر اشتقاق برای شبکه‌ی تومو مقدار "m/44'/889'/0'/0" هست.تولید یک عبارت یادآور تصادفی روی وبسایت iancoleman/BIP39آدرس‌ها و اطلاعات تولیدشده با کمک یک نمانیک تصادفی، استاندارد BIP39 و مسیر اشتقاق اتریومدر سناریوی فرضی ما، شما می‌خواستین مثلاً به آدرس زیر،که از تراست‌والت کپی کردین، توکن تومو روی شبکه‌ی اتریوم بفرستین.0x801c349d96D54A03635c11aCF94aeb7aA15C9527درحالی‌که به‌اشتباه به همین آدرس روی شبکه‌ی توموچین، کوین تومو ارسال کردین. اگر آدرس کوین TOMO رو توی تراست‌والت، چک بکنین، می‌بینین که آدرس متفاوتی نسبت به آدرس اتریومی مبنای والت داره و ما به آدرسی که به‌اشتباه بهش دارایی ارسال کردیم، دسترسی نداریم.خب حالا اگر بگم برگردوندن این دارایی (که در لحظه‌ی نوشتن متنمون مبلغی معادل ۲۵۰۰ دلار ارزش داره) که به اشتباه فرستاده شده و به‌حالت عادی بهش دسترسی وجود نداره غیر‌ممکن نیست، چه واکنشی خواهید داشت؟1. https://github.com/iancoleman/bip392. https://iancoleman.io/bip39/فقط کافیه که اون والت رو برای اطمینان کاملتون از هرگونه سواستفاده‌های احتمالی، خالی کنین. بعد به سراغ پروژه‌ای، که یان‌کلمن اون رو در دو نسخه‌ی Online و Standalone آماده کرده، برین. البته شاید دسترسی به نسخه‌ی ستندلون یا آفلاین برای هرکسی ساده نباشه و همینه که شاید مجبور بشیم از وبسایت همین پروژه استفاده کنیم.باید گفت که وقتی پروژه‌ای به‌صورت متن-باز در اختیار ما قرار داره احتمال وجود در پشتی و نشت اطلاعات توش تقریباً صفره، ولی در هرحال ما برای اطمینان‌خاطر در هر دو نسخه از قبل تموم دارایی‌های دیگه رو خالی کردیم (صد البته انجام این‌کار برای حالت آفلاین کمی خنده‌دار هم هست، ولی درهر‌حال کار از محکم‌کاری عیب نمی‌کنه!) تا بتونیم مراحلی که توی این راهنما نوشته شده رو انجام بدیم. با انجام مراحل ذکرشده توی راهنما می‌بینین که، خیلی راحت، شما حتی به اون آدرس اشتباهی که درظاهر توی والتتون بهش دسترسی نبوده دسترسی دارین و این رو مدیون این هستین که برای چند دقیقه رازداری رو گذاشتین کنار و دوازده‌کلمتون رو راحت در اختیار پروژه‌ی یان‌کلمن عزیز قرار دادین.جمع‌بندی: همون‌طور که دیدین، آن‌چنان هم عجیب نیست اگر ما برای برگردوندن دارایی قابل‌توجهمون دست‌به‌دامن بعضی سرویس‌ها بشیم، بهشون ۱۲ کلمه‌مون رو نشون بدیم و بعد ازشون بخوایم تا بهمون کلیدخصوصی اون آدرس مشخص رو بدن و بعد از انتقال دارایی برای همیشه با اون والت، آدرس‌هاش، دوازده کلمه‌اش و ... خداحافظی کنیم.از اون‌جایی که من به مباحث رمزنگاری علاقه دارم (البته سوادم در این زمینه به‌اندازه‌ی علاقه‌ام نیست)، سعی می‌کنم در ادامه‌ی همین مطلب، مطالب دیگری درمورد رمزنگاری، امضا کردن، کلیدها و ... بنویسم. شاید هم از راه‌هایی برای امن‌تر موندن نمانیک و والت‌هامون بنویسم که به‌شدت مهمه و دغدغه‌ی ضیا در این مورد، کاملاً هم به‌جا و درسته.ترجمه‌کردن مقاله‌ی How To Recover Funds Sent to a Wrong Public Address هم خالی از لطف نیست، چون قطعاً می‌تونه به خیلیا برای بازگردوندن دارایی‌های گم‌شدشون کمک کنه (دیدم که میگم ?)، اما اگر کمی دقت کنین، می‌بینین که این مقاله‌ی تراست‌والت درواقع یک راهکار بسیار ساده‌تر و امن‌تر داره که، شرکت‌سازنده‌ی این کیف پول سعی کرده فقط به‌خاطر مساله‌ی رقابت با هم‌قطارانش، اون رو نادیده بگیره و امنیت رو فدای رقابت بکنه، که حتما میشه در آینده راجع‌بهش نوشت، یا این‌که شما توی بخش نظرات، راه‌کارهای مشابهتون رو ذکر کنین.

هر هدیه‌ای باز کردنی نیست! داستان NFTهای مخرب و OpenSea

MΞHDI — Tue, 19 Oct 2021 13:57:09 +0330

اگر شما هم خرید و فروش‌های زیادی روی بازارگاه OpenSea، که مکانی برای خرید و فروش NFTهاست، انجام داده باشید، حتماً متوجه این موضوع شدید که هر‌از‌چند‌گاهی براتون هدیه‌هایی از طرف افراد ناشناسی ارسال میشه که قیمت چندانی ندارن و در تعداد زیاد مینت و برای بقیه ارسال شدن.آیا تمام این داستان یک لطف بدون منت از جانب یک دوست ناشناسه که فقط می‌خواد به‌خاطر تراکنش‌های زیاد شما روی یک پلتفرم از شما قدردانی کنه؟در جواب باید بگیم که در اکثر مواقع این‌جوریه که آدرس فرستنده فقط قصد داره با این کار به بیشتر دیده‌شدن اثری که تولید کرده کمک بکنه [احتمالاً لطفی در کار نیست و هیچ‌کس محض رضای خدا قرار نیست بهتون پاداش بده‌] و با این روش بازار کوچیکی برای اثر خودش ایجاد کنه. به‌نوعی یک ایردراپ خیلی کوچیک محلی در حد‌و‌اندازه‌های کار خودش برگزار کنه، اما داستان از اون‌جایی ترسناک میشه که اپن‌سی به تولیدکننده‌ی اثر اجازه میده که فایل‌های SVG رو به‌عنوان یک دارایی غیر‌قابل‌معاوضه مینت کنه.خب فایل SVG چیه؟در واقع SVG یکی از انواع فرمت‌های ذخیره‌سازی فایل‌های تصویری برداریه که براساس XML توسعه داده شده. به‌عبارت دیگه، اساس SVG نشونه‌گذاری‌های رایج توی زبون نشونه‌گذاری XML هست، که به‌کمک این ساختار شما می‌تونین بردارهای داخل تصویرتون رو ایجاد و درنهایت با بصری‌کردن اون‌ها یک تصویر داشته باشین.SVG: Scalable Vector GraphicsXML: Extensible Markup Languageبه مثال زیر توجه کنید که در اون برای اختصار، بخشی از متن فایل SVG ما حذف شده. اگر دقت کنید میشه فهمید که فایل ما یه‌تعدادی tag داره که درواقع نماینده‌هایی هستن برای توصیف این‌که فایل ما از چه جنسیه و از چه اجزایی تشکیل شده. به‌طور مثال، این‌جا ما تگ Path رو داریم که یکی از انواع وکتورهای مورد‌استفاده برای ساخت یک فایل SVG هست و توی اون اطلاعاتی از جانمایی نقاط سازنده‌ی یک مسیر نوشته شده. از اون‌جایی که این اطلاعات خارج از بحث اصلی این پسته، ازشون می‌گذریم و میریم سراغ ادامه‌ی ماجرا.خروجی اون فایل، البته اگر کامل می‌بود، چیزی شبیه به این تصویر می‌شد:خروجی تصویری فایل SVG مذکوراین به این زیبایی؛ کجاش می‌تونه خطرناک باشه؟این فایل وقتی خطرناک میشه که وسط-مسطای اون نشونه‌گذاریا، جایی که کسی حواسش نیست بیای و اسکریپت جاوا-اسکریپت (یکی از زبون‌های برنامه‌نویسی که ازقضا به‌شدت هم خودش رو با Web3 منطبق کرده) مخفی کنی. کافیه خروجی این فایل، که در ظاهر یک تصویره، روی یک صفحه‌ی وب قرار بگیره و حالا با لود شدنش توی صفحه، اون اسکریپت هم توی Document وب ما تزریق میشه و خب این‌جاست که می‌فهمیم اپن‌سی چه سوراخ امنیتی بزرگی رو پر نکرده.اپن‌سی خیلی راحت این فایل رو از مینت‌کننده قبول می‌کرده، [احتمالاً] بدون هیچ‌گونه تبدیلی به فرمت‌های تصویری دیگه، اون رو توی وبسایتش نمایش می‌داده و این‌جوری هرکسی می‌تونسته هر کدی رو به مرورگر کاربر نهایی برسونه و کافی بوده که کاربر روی تصویری که درواقع یک فایل SVG بوده کلیک کنه تا اون اسکریپت اجرا بشه و مراحل بعدی اتفاق بیفته که در ادامه‌ی متن به بررسی اون‌ها می‌پردازیم.باگ‌های امنیتی در اپن‌سی که باعث دزدیده‌شدن دارایی کاربران این پلتفرم می‌شود.Source: Critical bugs on the OpenSea allowed to steal user fundsیکی از رایج‌ترین چیزهایی که توی اپن‌سی ممکنه بهش بربخورین، اینه که برای انواع کارها، ازجمله لایک کردن یک اثر، خرید یک اثر، و ... از شما امضا می‌خواد. اینه که عموماً کاربرهای اپن‌سی خیلی کم‌دقت درمورد این امضاها رفتار می‌کنن و سعی می‌کنن خیلی سریع پاپ‌آپی که مثلاً توی متامسک براشون آورده شده رو امضا کنن.البته عموم کاربرا همه‌جا خیلی بی‌دقت این کار رو انجام میدن و این امضا کردن بدون بررسی، مختص OpenSea نیست متاسفانه. ???درخواست امضا برای لایک کردن یک اثر روی اوپن‌سیدزد نامحترم هم که هم از این رفتار ناخودآگاه کاربرا و هم از باگ امنیتی اپن‌سی آگاهی داره، دست‌به‌کار میشه و کاری می‌کنه که شما چیزی رو امضا کنین که حکم عهدنامه‌ی ترکمانچای رو توی کریپتو داره.القصه، شما وقتی روی یک تصویر آلوده روی اپن‌سی (بخوانید: یک فایل SVG که داخل اون کدهای مخرب جاوا-اسکریپتی و ... گنجونده شده) کلیک می‌کنین، به‌ترتیب ازتون چندتا امضا می‌گیره، و از اون‌جایی که اصالت درخواست‌کننده به OpenSea (OpenSea.io) یا Storage اون برمی‌گرده شما خیلی هم ممکنه شک نکنین و درخواست‌های امضا رو قبول کنین. البته یه‌نکته‌ای که تا این‌جای کار برای این مدل از دزدی شک‌برانگیزه و افراد رو باید یه‌خورده مشکوک کنه، اینه که با کلیک روی تصویر یک تب جدید (با ادرس Storage اپن‌سی) توی مرورگر باز میشه و ازتون درخواست امضا می‌کنه و خب این تفاوت این نوع امضا کردن با امضاهای فراوون و مرسومیه که شما توی اپن‌سی می‌کنین.درخواست امضای مشکوک از طرف فرستنده‌ی NFT مخربنمی‌دونم برای شما هم این اتفاق افتاد یا نه، ولی روی پروفایل اپن‌سی من چندتا از ان‌اف‌تی‌هایی از همین جنس، که به‌صورت هدیه ارسال شده بودن، به یک‌باره، ناپدید شدن و احتمالاً مربوط میشه به راهکار اپن‌سی برای شناسایی و حذف این ان‌اف‌تی‌های مخرب.این مشکل امنیتی روز ۲۶ سپتامبر امسال گزارش شده و در کم‌تر از یک ساعت [ظاهراً] برطرف شده، اما چیزی که هست اینه که وقتی پای پول درمیون باشه این مدل از تهدیدات همواره به‌عنوان ریسک‌های بالقوه در اطراف ما وجود دارن و تنها راه اینه که آگاهی بیشتری نسبت به مفاهیم داشته باشیم و سعی کنیم با دقت جزییات رو بررسی کنیم و هرچیزی رو به این راحتیا امضا نکنیم. ?

سفر به آینده - مسابقات اسب‌دوانی با ZedRun

MΞHDI — Tue, 28 Sep 2021 21:23:29 +0330

مسابقات اسب‌دوانی زدراناگر شما هم مثل من عاشق مسابقات اسب‌دوانی و شرط‌بندی توش هستین، ولی هنوز نتونستین تجربه‌اش کنین، پیشنهاد می‌کنم یه‌سر به @Zed_Run بزنین.اسب رعد آبی - با میانگین قیمت 0.73 اتریوم و قیمت فعلی 1.3 اتریومالبته خودم هنوز این‌جا اسبی نخریدم، اما با معرفی زدران به یکی از دوستام باعث شدم معتادش بشه.لازمه توی OpenSea دنبال اسب‌های زدران باشین و بخرینشون. البته خریدنشون یک‌سری نکته و قلق داره، مثل این‌که کدوم Bloodline اصیل‌تره یا موارد مشابه این. به‌طور مثال، مشخصات اسب رعد آبی (Blue Lightning) رو در زیر می‌بینین:Bloodline: NakamotoBreed Type: LegendaryGender: MareCoat color: Bright Ceruleanبا خرید اسب‌ها شما می‌تونین اصطبل‌های مختلفی برای خودتون بسازین و با شرکت‌کردن توی مسابقات مختلف و کسب جایگاه، جایزه‌ی اون مسابقات رو دریافت کنین.نحوه‌ی برگزاری مسابقات در حالت سه‌بعدیراه‌های کسب درآمددیگه‌ای هم مثل دریافت هزینه‌ی جفت‌گیری برای اسب نر توش هست.بخش مربوط به جفت‌گیری اسب‌های نر و ماده در زدراناگر سوالی داشتین حتماً ازم بپرسین! اگر خودم هم ندونم، از دوستی که بالاتر ذکر کردم خواهم پرسید.

معاملات آتی در بازار رمزارزها - بررسی موردی یک تفاوت مهم در صرافی کوکوین و بایننس

MΞHDI — Mon, 13 Sep 2021 14:53:48 +0430

برای بررسی دقیق‌تر مفهوم معاملات آتی باید با یک مثال شروع کنیم.در طول سالیان متمادی، افراد با پرداخت مبلغ مشخصی به ‌عنوان قیمت، یک دارایی خاص (مثلاً یک کیسه‌ی گندم) را خریداری می‌کرده‌اند. به‌عبارتی با پرداخت یک نرخ برابری، معاوضه صورت می‌گرفته است. این نوع معاوضه (دریافت کالا در مقابل پرداخت وجه) شباهت زیادی به معاملات Spot در بازارهای مرسوم امروزی دارد.نمایش مفهوم نرخ برابری برای خرید گندماگر نگاهی به‌معنای کلمه‌ی Spot trading بیندازیم، به این جمله خواهیم رسید:«معاملاتی برای خرید و یا فروش هر ابزار تجاری که در روز بعدی بانکی تحویل داده می‌شوند. یعنی طرفین معامله خودشان انتخاب می‌کنند در چه تاریخی و با چه نرخی شروع به معامله کنند.».نکته‌ی مهم در این مبادله این است که خریدار در موعد مقرر کالای مورد معامله را به‌صورت قابل‌لمس دریافت می‌کند. احتمالاً همین تفاوت در نوع دریافت یکی از تفاوت‌های اولیه‌ی Spot trading و Futures trading باشد، زیرا در معاملات آتی دریافت ملموس کالا در گذر زمان محو شده است.با کمی بررسی متوجه خواهیم شد که پای معاملات آتی به معاملات روزمره‌ی ما در شیکاگو (سال ۱۸۴۸ میلادی) باز شد؛ یعنی زمانی که تولیدکنندگان گندم برای فروش محصولات خود نیاز به بازاری داشتند تا معاملات نقدی را انجام دهند، یعنی گندم بدهند و پول آن را دریافت کنند. در آن‌جا به‌تدریج کشاورزان (فروشندگان) و واسطه‌ها (خریداران) شروع به‌نوعی ایجاد تعهد جهت تبادل کالا و وجه نقد خود در آینده کردند و زمینه‌ی معاملات آتی‌ را پایه‌ریزی کردند، بدین معنی که «تولیدکننده موافقت نمود که محصول خود را به خریدار در تاریخ آینده (تاریخ تحویل کالا) با قیمت توافق شده بفروشد.».*به عبارتی افراد توافق کردند که به‌ازای پرداخت مبلغ مشخصی، به‌جای دریافت کالای قابل لمس، قراردادی دریافت کنند که با استناد به آن خریدار کالا را در یک تاریخ مشخص از فروشنده‌ی مشخص دریافت می‌کند.در این راستا، کشاورز از قبل می‌دانست که وجه خود را دریافت می‌کند و خریدار نیز از قیمت کالا باخبر می‌شد. این نوع قراردادها به‌سرعت رایج شد و قراردادها را قبل از تاریخ تحویل دست‌به‌دست چرخاند، تا جایی که دیگر خرید و فروش کالای فیزیکی چندان محل بحث نبود و این قراردادها بودند که به‌عنوان کالا خرید و فروش می‌شدند.گسترش مفهوم معامله‌ی آتی تا حدی پیش رفت که افراد می‌توانستند با پرداخت مبلغی به‌عنوان وجه ضمانت اولیه (مفهوم Margin) و هزینه‌ی عقد قرارداد (مفهوم Cost)، چند برابر (مفهوم Leverage) یک واحد قابل‌پرداخت از کالای موردنظر را، با پذیرش شرایط خاصی، فقط بر‌روی کاغذ خریداری نمایند و این قراردادها (کاغذها) را قبل یا در زمان ذکر شده در قرارداد به خرید و فروش برسانند.این نوع از معاملات شباهت بسیاری به سبک اختیار معامله‌ی آمریکایی امروزی داشتند که در آن یک قرارداد Call یا Put می‌تواند قبل یا در زمان سررسید در Strike price به فرد دیگری منتقل گردد. (برای بررسی تفاوت‌های اختیار معامله‌ی آمریکایی و اروپایی می‌توانید به لینک درج شده در همین پاراگراف مراجعه کنید.)چند مفهوم اساسی در یک معامله‌ی آتیارکان اساسی در یک معامله‌ی آتی:قیمت ورود به معاملهتعداد (حجم) دارایی مورد معاملهزمان سررسید معاملهبه‌مرور زمان و با استحاله‌ی مفهوم «زمان سررسید» در این نوع از قراردادها، نوع فعلی معاملات آتی پایه‌ریزی گردید که در آن افراد می‌توانند صاحب قراردادهایی بدون محدودیت زمانی گردند که در ذیل آن قیمت خرید/فروش یک دارایی، مقدار وجه تضمین و تعداد مورد توافق از دارایی [که عموماً به‌دلیل توانایی استفاده از اهرم، بیشتر از قدرت خرید - Buying power خریدار می‌باشد] ذکر می‌گردد. با تغییرات قیمت دارایی پایه (یک کیسه‌ی گندم)، این قرارداد (توافقی بر سر خرید یا فروش یک یا چند کیسه‌ی گندم) وارد سود یا ضرر خواهد شد که در قالب مقدار عددی‌ای به‌نام PNL (Profit n' Loss) قابل اندازه‌گیری خواهد بود و در هر زمانی با انتقال این قرارداد به فرد دیگر این مقدار قابل تسویه خواهد بود.اصلی‌ترین محدودیت در این نوع از معاملات این است که، درصورتی که میزان ضرر این قرارداد از میزان وجه تضمین بیشتر شود، قرارداد فاقد اعتبار شده و به‌عبارتی نقدینه (Liquidated) خواهد شد. این محدودیت معادل Margin call در بازاری مانند فارکس می‌باشد. شاید بتوان این‌طور در‌نظر گرفت که این قرارداد پس از اتمام وجه ضمانت و نقدینه‌شدن، با بازارساز (Market maker) تسویه خواهد شد. همچنین قیمتی که در آن پوزیشن مربوط به یک دارایی نقدینه خواهد شد در اطلاعات مربوط به پوزیشن، با مقدار عددی Liquidation price نمایش داده می‌شود.در یک مثال ساده‌شده، فرض کنید با مقدار وجه ضمانت ۱۰۰‌هزار تومان، بناست که قرارداد خرید ۱۰ کیسه‌ی گندم ۴۰‌هزار تومانی را دریافت کنیم. در صورتی که از مقدار Cost صرف‌نظر کنیم، مقدار اهرم در این معامله 4X می‌باشد. برای محاسبه‌ی مقدار قیمت نقدینه‌شدن کافی است بفهمیم که در صورت کاهش قیمت تا چه عددی مقدار ضرر معامله‌ی ما برابر ۱۰۰‌هزار تومان خواهد بود.PNL = 10 * ΔP = 10 * (P2 - P1) PNL = -100kT = 10 * (P2 - 40kT) P2 = (-100,000 + 400,000)/10 Liquidation price = P2 = 30kTهمان‌طور که مشاهده می‌شود، در‌صورتی‌که قیمت هر کیسه‌ی گندم به ۳۰‌هزار تومان کاهش یابد، قرارداد ما فاقد اعتبار خواهد شد و مقدار وجه ضمانت معامله نیز از بین خواهد رفت. به‌طور‌مشابه، برای همین مثال در صورتی که همین قرارداد از نوع فروش (Short) منعقد گردد، قیمت نقدینه‌شدن برابر ۵۰هزار تومان خواهد بود. هم‌چنین، در صورت عدم برخورد قیمت به Liquidation price در هر زمانی این معامله با PNL مثبت یا منفی قابل تسویه‌شدن می‌بود. برای همین مثال درصورتی که قیمت پس از بازکردن یک پوزیشن از نوع قرارداد خرید (Long) به ۴۵هزار تومان برسد، مقدار PNL برابر ۵۰هزار تومان، یعنی حاصل‌ضرب تعداد کیسه‌ی گندم و تغییر قیمت در طی معامله خواهد بود که در همان زمان قابل تسویه بوده و بالانس حساب معامله‌گر را به ۱۵۰هزار تومان خواهد رساند.صرافی کوکوین؛ مفاهیم ثابت، نوع اجرای متفاوتصرافی کوکوین، یکی از مقاصد مهاجرت ایرانیان پس از الزامی شدن احراز هویت در بایننساگر از افرادی باشید که پیگیر اخبار مربوط به فضای رمزارزها باشید، احتمالاً متوجه شده‌اید که صرافی بایننس احراز هویت را برای تمامی کاربران خود اجباری کرده است و این امر سبب مهاجرت بسیاری از کاربران ایرانی به صرافی‌های مشابهی نظیر KuCoin گردیده است.از طرفی اگر از بخش معاملات آتی بایننس در گذشته استفاده کرده باشید، دیدن برخی تفاوت‌های مهم در صرافی کوکوین ممکن است باعث سردرگمی شما شده باشد. برای مثال، وجود مقادیر مجزا برای Cost و Margin در صرافی بایننس و وجود این عدد به‌صورت ادغام‌شده در مقدار Cost در صرافی کوکوین یکی از مثال‌هاست، امّا شاید بتوان وجود اهرم پویا در صرافی کوکوین را بزرگترین تفاوت بخش معاملات آتی کوکوین و بایننس دانست. به این معنا که، شما با باز کردن یک پوزیشن با یک اهرم مشخص متوجه تغییر مقدار اهرم به مرور زمان خواهید شد. این تغییر بدین‌صورت است که در صورتی معامله‌ی باز شما PNL منفی داشته باشد، اهرم بزرگ‌تر خواهد شد و در حالت برعکس اهرم کوچک‌تری بر روی اطلاعات معامله ظاهر می‌شود، امّا این اتفاق ناشی از چیست؟برای پاسخ دادن به این سوال ابتدا باید بدانیم که در شرایط یکسان مفاهیم Margin و Leverage دارای هم‌ارزی هستند، بدان‌معنی که با ثابت بودن حجم یک معامله، در صورتی که وجه تضمین افزایش/کاهش یابد، مقدار اهرم معامله نیز به همان نسبت کاهش/افزایش می‌یابد. البته از آن‌جایی که این PNL از نوع Unrealized می‌باشد، تغییری در Liquidation price ایجاد نخواهد کرد [برخلاف حالتی که به‌صورت دستی مارجین معامله افزایش پیدا می‌کند و فاصله‌ی قیمت نقد‌شدن و قیمت ورود بیشتر می‌شود.].Volume ∝ Margin, Leverage Constant volume -> Margin↑ Leverage↓ Constant volume -> Margin↓ Leverage↑نظر به توضیحات ذکر شده، پاسخ سوال دقیقاً در همین قابلیت کوکوین نهفته است که این صرافی مقدار PNL را به‌صورت پویا به مقدار Margin اضافه می‌کند و این امر سبب می‌گردد تا مقدار اهرم معامله دائما در حال تغییر باشد.قابلیت Adjust Margin نیز یکی از قابلیت‌هایی است که به‌وسیله‌ی آن شما قادر خواهید بود، آن مقداری از Futures account خود را که درگیر معامله نیست به معامله‌های باز خود اضافه کنید و بدین ترتیب قیمت نقدشدن و اهرم معامله را تغییر دهید. البته در بایننس شما قادر به افزودن یا کاستن از مارجین یک پوزیشن باز هستید [کاستن از مارجین یک پوزیشن، یکی از راه‌های Risk-free کردن، کاهش ریسک، یا پیاده‌سازی حد ضرر مشخص برای آن پوزیشن می‌باشد]، در‌حالی که این قابلیت در کوکوین فقط به‌صورت افزایش وجه ضمانت در‌دسترس است.هم‌چنین، در قابلیت Auto-deposit margin در کوکوین، در مواقعی که مقدار مارجین معامله برابر مقدار Maintenance margin می‌شود، سیستم به‌صورت خودکار دارایی موجود Futures account را به مارجین معامله اضافه می کند. این قابلیت شاید در نگاه اول در جهت جلوگیری از نقدینه‌شدن مفید به‌نظر برسد، امّا در مواقعی می‌تواند موجب از دست رفتن تمام سرمایه‌ی موجود در حساب آتی شما و هم‌چنین نقدینه‌شدن معاملات باز شما گردد. لازم به توضیح است که، Maintenance margin در اکثر صرافی‌ها برابر ۲۰ درصد مقدار مارجین اولیه می‌باشد و نمایانگر نزدیک‌شدن قیمت دارایی مورد معامله به قیمت نقدینه‌شدن معامله است.در آخر باید گفت که، تفاوت خرید‌ و فروش در بازار Spot و Futures درست مانند خریدن پوستر رونالدوی پرتغالی، به جای خریدن خود رونالدو به‌عنوان یک بازیکن فوتبال است. ?ورود به بازار آتی به‌هیچ عنوان به مبتدیان توصیه نمی‌شود، زیرا این بازار به‌دلیل وجود بالقوه‌ی ریسک فزاینده، با احتمال زیادی سبب از‌دست‌رفتن تمام یا بخشی از سرمایه‌ی درگیر آن‌ها خواهد شد.