cemehbl4

@cemehbl4

Проект E4pizor или аппаратный кошелек своими руками
24.10.2022 11:54
Post earned 0.00 UFO

Всем доброго дня. И немного пищи для размышлений.

В свете уже традиционных новостей о санкциях против россиян хочется немного пошуметь.

Любой бизнес, получив удар по карману, или ограничения в виде нарушений логистики, техпроцесса, и любое вмешательство извне, старается как можно быстрее избавиться от токсичных последствий этих явлений. И подстелить себе подушку на случай, если такое может повториться.

Новости, которые выходят каждый день говорят о стремлении ограничить бизнес майнеров и трейдеров из РФ и внести максимальные неудобства при работе с активами. И если не все считают это своим бизнесом, а относятся как к хобби или дополнительному заработку, то, по крайней мере, к безопасности своих средств они должны относиться как можно серьезнее.

И так как очень большое количество людей до сих пор хранят свои сбережения на биржах, на вэб-кошельках, на локально установленных в смартфоне или компьютере, хочется дать им оценку, и, возможно, кому-то это сохранит его сбережения.

Итак, по списку:

Кошелек биржи

Очень удобно, например, настроить майнинг на биржевой кошелек. Зарегистрировался, настроил – заходи себе раз в месяц меняй монетки на другие.

Обратная сторона этого процесса - это не ваш кошелек. Это биржевой кошелек, который в случае блокировки, неважно от чего она произойдет, останется на бирже, и никакая криптополиция вам не поможет их достать. Ничто не поможет. Вам будет абсолютно все равно, какая причина реальная или выдуманная станет результатом блокировки. Ваши средства вы подарите владельцам биржи. Поэтому если вы добываете монеты сразу на биржу для обмена – не забывайте выводить почаще и оставлять только ту сумму, которую не боитесь потерять.

То же самое относится к кастодиальным веб-кошелькам (от англ. custodian - "хранитель"), когда кошельки принадлежат сервису, а не пользователям. Это еще один удобный и быстрый способ хранить (конечно же, нет) свои сбережения. Наверное, не стоит объяснять, что незакрытая сессия, или простая грабилка паролей избавит вас от ваших средств весьма быстро.

Локальный кошелек

Установлен на ваш ПК, смартфон, или открывается в браузере, защищен конечно же паролем, seed у вас на бумажке в сейфе - вполне надежный инструмент для хранения монет. Но кол-во монет становится с каждым днем все больше и устанавливать на каждую отдельный кошелек, а в некоторых случаях ещё и ждать полную синхронизацию с блокчейном каждый раз, когда вы хотите совершить транзакции – это утомительно и нерационально. Поэтому многие, кто не доверяет биржам, начинают пользоваться так называемыми мультивалютными кошельками. Но нюанс здесь в том, что абсолютное большинство таких кошельков не публикуют исходный код, а это значит, что юзер вынужден всё равно доверять производителю кошелька. Все они так же подвержены атакам троянов и прочей компьютерной нечисти, а об утечках средств с таких кошельков пестрят интернеты, стоит только поискать.

И тут на арену выходят аппаратные кошельки, маленькие компьютеры, генерирующие seed внутри своего чипа, не передающие секретные данные наружу, а все критические действия, такие как подпись транзакции, осуществляются физическим взаимодействием пользователя на кнопки девайса. Выглядит, как панацея от всех бед криптосообщества. К сожалению, это не совсем так, потому что большинство из них всё так же являются закрытыми (или не совсем открытыми) системами. И снова мы упираемся в пресловутое "доверие". Как известно, сам биткоин был задуман и воплощен как система не требующая доверия, и является не старым дедом, а эталоном.

На фоне прочих аппаратников выделяется старый добрый Trezor. Во первых - это самый первый аппаратник, появившийся на рынке, его разработчики приложили руку к созданию самого понятия "апппаратный кошелек". В то время криптопространство еще не было отравлено "бинансом", а уровень знаний среднестатистического пользователя криптовалюты был выше, чем сейчас. Поэтому закрытый кошелек был не мыслим тогда, и с тех пор разработчики Trezor придерживаются изначальной философии. Так в чём же преимущества Trezor перед прочими аппаратниками?

  • Открытый исходный код прошивки
  • Огромное сообщество, в том числе, программисты со всего мира, занимающиеся улучшением кода, поиском багов, закрытием уязвимостей
  • Готовые прошивки полностью верифицируемы, то есть пользователь может собрать прошивку из открытого кода и сравнить её с той, которую разработчики выложили на свой сайт
  • Электронные компоненты, схемы, макеты плат и корпусов так же не являются секретом и доступны всем желающим
  • Пользовательский интерфейс Trezor Suite так же открыт
  • Серверная часть... внезапно тоже открыта

Отсюда следует два вывода:

  • Пользователь полностью независим от разработчиков кошелька, то есть если даже вся инфраструктура Trezor станет не доступной, её с легкостью можно воссоздать благодаря open source
  • Кошелек не требует доверия к производителю, всё открыто и проверяемо

В любом случае, выбор аппаратного кошелька, как и изучение их различий, дело самих пользователей. Но главное в том, что апаратники - это на сегодняшний день одно из лучших средств защиты.

Однако, и здесь в силу вступили санкционные ограничения. Самые продаваемые и хорошо себя зарекомендовавшие апаратники не поставляются официально сейчас в РФ, а серые поставки взвинтили ценник до совершенно неприличных размеров. Заменить их китайским производителем с закрытым кодом и мощным фаерволом, который в случае обострения ситуации сработает наглухо, превратив ваш апаратник в кирпич – это точно не выбор.

Наша команда еще до всяких санкций более года назад воспроизвела кошелек Trezor One по открытым исходникам на GitHub. И назвали это чудо E4pizor.

Мы, команда E4piko - это сообщество криптоэнтузиастов, занимающихся популяризацией блокчейна, криптовалют и идей децентрализации, освещением, по большей части, технической стороны вопроса, а также созданием майнинг-пулов https://e4pool.com

Изначально проект E4pizor задумывался исключительно для себя, но мы остались очень довольны первым результатом, и решили показать народу во всех деталях процесс создания кошелька, что и вызвало небольшой, но всё же резонанс общественности на небезызвестном форуме https://miningclub.info/threads/ledzher-vs-trezor-nixuang-e4pizor.87039/

Дальше - больше. Так как далеко не все дружат с паяльником и программатором, появился запрос на изготовление таких кошельков силами нашей команды. На сегодняшний день мы полностью наладили производство в РФ. Изготавливаются кошельки небольшими партиями, поэтому и стоимость варьируется, но мы стараемся предлагать цену как можно ниже, и она всегда получалась дешевле оригинального Trezor.

У нас есть русскоязычная поддержка, хотя я бы назвал это товариществом, в телеграм https://t.me/E4pizor, где можно прочитать отзывы о кошельке, узнать актуальный ценник и наличие, а так же пообщаться на темы безопасного хранения криптовалюты. Если вы хотите повторить наш эксперимент сами, то поможем, никаких секретов тут нет, нам приятно делиться собственным опытом. Кроме того, мы готовы развернуть свои сервера для работы Trezor Suite, если в этом будет необходимость. Пример настройки такого сервера я уже описывал здесь https://slabber.io/posts/287, в той же статье сделана интеграция с блокчейном UFO.

На самом деле, есть большие сомнения в том, что Trezor заблокирует сервера для РФ хотя бы потому, что их сервера доступны из Tor.

Вопросы безопасности, а также различные дополнительные возможности при работе с кошельком, мы постарались максимально осветить в нашей инструкции пользователя https://forum.e4pool.com/viewtopic.php?t=78

Сразу же отвечу на вопрос о том, а не прошили ли мы туда что-то левое. Мы устанавливаем оригинальный загрузчик (не прошивку) Trezor версии 1.10.0 https://github.com/trezor/webwallet-data/blob/master/bootloader/1/bootloader-1.10.0.bin. Прошивать его необходимо просто потому, что в пустой чип загрузчик можно залить только используя программатор. Но при первом же подключении к Trezor Suite пользователь собственноручно устанавливает прошивку с официального сервера Trezor, а в комплекте с этой прошивкой идёт и более новая версия загрузчика, на данный момент 1.11.0. Это означает, что при первом подключении и использовании последней версии Trezor Suite, юзер получает полную прошивку (bootloader + firmware) непосредственно от оригинального производителя Trezor One - SatoshiLabs. При этом установленное ПО в аппаратник можно проверить с помощью официальной утилиты trezorctl и сравнить хэш установленного загрузчика с оригинальным

trezorctl get-features

Таким образом вы можете убедиться, что в устройство установлено оригинальное ПО от Trezor. А еще прошивка Trezor проверяет загрузчик перед запуском, и если он неоригинальный, то просто откажется загружаться. И наоборот, загрузчик проверяет подпись прошивки, и в случае, если прошивка неофициальная, то выдаст предупреждение об этом факте.

Криптомир меняется каждый день. Появляются новые биржи, новые проекты, новые законы и порядки. И всему сообществу приходится подстраиваться или искать лазейки. Но одно неизменно всегда – ваши средства остаются вашими только тогда, когда они находятся у вас. Никакие сервисы на доверии, никакие биржи и веб приложения не являются средствами хранения. Всем будет очень полезно запомнить, несмотря на то, что облик современного криптомира, стал похож на привычный сектор с банками, биржами, обменниками и магазинами, он все равно остался “диким западом” со своими законами. Любая возможность отобрать ваши средства будет использована и никаким образом вы их себе не вернете.

Спасибо за внимание)

Post earned 0.00 UFO

Post earned 0.00 UFO

Комментарии

Comments: