Broken Coin Bitcoin

[English translation may be some day]

Данная заметка не является призывом к действию, здесь я опишу слабые и потенциально опасные стороны биткоина и технологии блокчейн.

Уязвимый центр

Принцип работы биткоина и блокчейна заключается в хранении, изменении общей базы данных, полная копия которой хранится у каждого участника сети. Система выглядит децентрализованной, т.к. нет единой организации/сервера на котором хранится база данных. Также децентрализованность выдается за главный плюс блокчейна, дает гарантию что ничего не случится с вашими биткоинами без вашего ведома.


Принцип блок-чума от Елкина

Для того чтобы блокчейн работал, нужно сделать так чтобы каждый пользователь скачивал последнюю копию базы данных блокчейна, и работал с ней по определенным правилам. К таким правилам относится реализация принципа майнинга биткоина, получение процента от каждой транзакции при подтверждении (transaction fee) передачи средств с одного кошелька на другой. Пользователь не может нарисовать себе 1000000 биткоинов и купить на них что-то, т.к. у других пользователей количество денег на его счету будет неизменным. Также исключен вариант со снятием средств с чужого кошелька только внутри своей базы данных т.к. это изменение не будет отражено у других пользователей биткоина, и будет проигнорировано.
Уязвимость текущей реализации заключается в том что биткоин кошелек находится на сервере github что полностью перекрывает рекламные лозунги о децентрализации. Без загрузки кошелька из единого центра – сайта разработчика, невозможно работать с биткоином, тоесть в любой момент разработчики имеют полный контроль над сетью. Таким образом, сама технология блокчейн является децентрализованной, но клиент для работы с сетью загружается из единого центра.
Сценарий атаки  – допустим в кошелек добавлен код для снятия всех средств и обналичивания на счет третьих лиц, после этого любой пользователь последней версии кошелька потеряет все биткоины автоматически (без возможности восстановления). Сомневаюсь что многие владельцы кошелька проверяют и собирают его из исходного кода, поэтому последствия такой атаки затронут большинство пользователей.

Решает большинство

Блокчейн является децентрализованной p2p сетью, подтверждением всех операций занимаются сами пользователи в автоматическом режиме. Сценарий атаки  – необходимо получить 51% сети для того чтобы игнорировать подтверждения оставшихся 49%, после этого атакующий получает полный контроль над биткоином/блокчейном. Этого можно добиться подключив вычислительные мощности перекрывающие остальных. Этот сценарий атаки известен как 51% attack.

Угадай меня если сможешь

При первом запуске кошелька, компьютер генерирует пару – приватный и публичный ключ для обеспечения своей корректной работы. Уникальность данных ключей крайне высока, однако есть вариант сгенерировать ключи с помощью кодового слова – так называемый “brain wallet“. Человек хранит ключи у себя в голове, ему не нужно делать бекап файла wallet.dat, т.к. в любой момент ключи можно будет перегенерить с помощью данного кодового слова. Сценарий атаки – злоумышленник подбирает или узнает кодовое слово, генерирует пару приватный-публичный ключ и получает контроль над кошельком.

Просто скопируй

Пара приватный-публичный ключ содержится в файле wallet.dat. Любое программное обеспечение имеющее доступ к данному файлу – имеет доступ к кошельку биткоин. Защитой от такого нападения служит добавление кодового слова, которое должен будет помнить и вводить пользователь, для всех операций с кошельком. После добавления кодового слова, злоумышленнику нужно будет иметь wallet.dat и кодовое слово для получения полного контроля.
Также стоит добавить что при вводе кодового слова оно попадает в память компьютера, таким образом любые уязвимости аппаратные и/или программые позволяющие читать *чужую* память позволят прочитать и это кодовое слово вирусному программному обеспечению.

Ошибка системы

Взлом алгоритмов шифрования биткоина моментально приведет к его смерти. Допустим в реализации алгоритмов допущена ошибка, злоумышленник нашедший ее получает либо полный, либо частичный контроль над блокчейном. Также алгоритмы шифрования используемые в биткоине не защищены от взлома с помощью будущих квантовых компьютеров, их появление и реализация квантовых алгоритмов – поставит крест на текущей реализации биткоина. Однако это может быть решено с помощью перехода на постквантовые алгоритмы шифрования.

0

Bright Future – WebAssembly

[Translation may be some day]

Несколько лет назад я прочитал о начале проекта WebAssembly (wasm), идея разработчиков звучала примерно так – разработать байт-код для запуска приложений на разных платформах, архитектурах, акцент делается на запуске приложений в браузере.

Желание выкинуть медленный и непредсказуемый javascript, у меня созрело давно. Уже вчера я собрал и запустил свою тестовую игрушку на WebAssembly.

Здесь я опишу как мне это удалось.

Компиляция WebAssembly с помощью Emscripten

Установка Emscripten описана в прошлой заметке. Допустим у вас уже есть проект который корректно собирается из C++ в javascript, для сборки в wasm вам нужно добавить ключи:

-s WASM=1 -s ""BINARYEN_METHOD='native-wasm'""

Можете также попробовать другие ключи сборки описанные в официальной документации, я выбрал native-wasm как самый производительный вариант.

Включение WebAssembly

На данный момент идет процесс активной разработки, поэтому в стабильных версиях браузеров поддержки последней версии wasm нет. Для запуска wasm кода я использовал браузер Firefox Nightly для Ubuntu. Для включения wasm, нужно зайти в about:config и включить его:

Также заявлена поддержка в других браузерах (Chrome).

WebAssembly в действии

Проверить как работает WebAssembly вы можете открыв страницу игры Tanks движка Unity. Есть подозрение что там используется fallback на javascript, т.к. работает даже в обычном браузере.

Также можете попробовать запустить тестовую версию моей игры Bad Robots для wasm.

Если ваш браузер показывает черный экран и ошибку “Exception thrown, see JavaScript console” и в отладочной консоли текст “uncaught exception: no binaryen method succeeded. consider enabling more options, like interpreting, if you want that: https://github.com/kripken/emscripten/wiki/WebAssembly#binaryen-methods“, тогда устанавливайте лучший браузер Firefox Nightly и включайте WebAssembly по инструкции выше.

Всем удачной компиляции.

0

Flame Steel: Курьер Шустрые Глазки

[Translation maybe someday]

Имя его Ревил, а прозвище было Шустрые Глазки. Знакомые кореша звали его Шустряк. Вырощенный улицей проворный пацан, он всегда знает что интересное и у кого можно достать. За это его он заработал уважение криминальной  среды Альтерры – 14.
Сейчас он находился внутри складского помещения Нейтив -Фарм-Юнитед. Вокруг стояли огромные контейнеры, запах фармацевтики.
– Че встал? Забирай и иди.
Огрызаясь сказал клерк, он выглядел взвинченным, переступал с ноги на ногу, было ясно что он очень боится. Рубашенка намокла от пота.
– Я из службы безопасности.
Лицо клерка побледнело, он зашатался еще сильнее.
– И что теперь?
– На пол – руки за голову!
Клерк нахмурился, сделав глубокий вдох, потянул руку вниз. Шустрые Глазки учуяли неладное – похоже он потянулся за пистолетом. Ревил оглушил его ударом в наглую морду, тельце с хлопком упало перед ним.
– Просил же по хорошему…
Обыскав клерка, Ревил обнаружил на месте пистолета обычный ингалятор, которым пользуются астматики. Также он нашел карту доступа к лабораторным секторам компании. Это была очень удачная находка.
Банда Токсичных Братьев направила его забрать партию Банда Токсичных Братьев направила его забрать партию запрещенного вещества – эндофомила. Но Ревилу было плевать на Братьев, и на их токсичность, здесь он был по другой причине – намеревался вытянуть свой счастливый билет.
Двери лифта распахнулись, Шустряк выбрал этаж указанный на карте – сорок второй. Лифт потихоньку поехал. Ревил обдумывал что будет делать в лабораторном секторе. Он был осведомлен об изощренных системах безопасности, интеллектуальных системах проверки личности, анализе мозговых волн и подобном.

Revil by Inc
Revil by Inc

Здесь он был не один, сотрудник компании Лориан согласился помочь ему вызвать сбой в работе систем, в результате чего у Ревила появится десять минут для осуществления намеченного.
На тридцать третьем этаже лифт остановился, над головой Ревила раздался громкий удар – что-то с грохотом приземлилось на крышу лифта.
Шустряк потянулся за пистолетом, но в этот момент через крышу лифта пробились металически шупальца. Они опутали его, раздался скрежет и крышу лифта вывернуло наружу. Сквозь дыру на него смотрело лицо девушки, – холодные пустые глаза, на пол лица металическая пластина с мигающими красными индикаторами, специально не скрытая под кожей.
– Перед смертью ответь, зачем ты пришел сюда?
Шустряк не мог пошевелиться, стальные шупальца сжимали его все сильнее, скоро он и вдохнуть не сможет.
– Я пришел за тем что по праву принадлежит мне!
На лице девушки появлился довольный оскал. Индикаторы мигали попеременно зеленым и красным…

0

Теряя себя

[English translation coming soon]

“Нельзя стать мастером всего” – меня всегда смешили подобные фразы. В эту ловушку специализации попадают все – пользователи, программисты, начальники, заказчики. “Хочу как у Microsoft/Apple/Google”, “Почему нам просто не сделать русский айфон?”, “Почему здесь не как в ворде/убере/фотошопе?” – эти фразы слышал любой, причастный хоть как-то к ИТ. Эти фразы, повторенные из уст разных людей, звучат еще смешнее.

Я спрошу тебя читатель – зачем тебе еще один Ворд? Зачем тебе еще один убер? Зачем тебе еще один фотошоп? Зачем тебе нужно чтобы “было как в айфоне”?
Почему ты привязываешь себя к интерфейсам и подходу только одной компании? Почему ты навешиваешь на себя ярлык любителя только продуктов Apple/Google/Microsoft? Почему ты не можешь открыть свой разум альтернативным подходам к решению задач, почему не хочешь быть более продуктивным?

Очень многим пользователям Microsoft не понравилось как компания решила что всем необходимо обновиться до Windows 10. Люди ругают неудобные интерфейсы айфона, крэши системы при обновлении, изменения в дизайне которые им не нужны, но все равно продолжают пользоваться ими, потому что так привыкли, и иметь “айфон” это статусно в современном обществе.

Иногда создается впечатление, что если Microsoft/Apple/Google попросят отдать собственных детей в обмен на продолжение работы с их продуктами, то из-за высокой привязанности к этим продуктам, люди запросто отдадут своих чад.

Не будь ими, не привязывайся к одному продукту, посмотри альтернативные варианты. Однажды мне предложили разработать систему для риелторов, с интерфейсом на Microsoft Excel, также были предложения разработать систему “интерактивной доски на Microsoft PowerPoint”. На вопрос почему именно Microsoft мне ответили что “так привыкли”, на вопрос есть ли лицензионное ПО от Microsoft в данных компаниях мне ответили уклончиво, что мол если нужно будет – то купят.

Читатель, я призываю тебя изучить грани ИТ мира, хотя-бы обзорно. Если ты пользуешься всю жизнь только Microsoft Windows, попробуй Apple OS X, или Linux. Если ты пользуешься только iPhone, попробуй хотя-бы неделю попользоваться Android последней версии. В момент когда ты переходишь на сторону только одной компании, закрываясь от продуктов других, в этот момент ты теряешь себя. Себя, как человека который может сам решать чего хочет, как человека который может выбирать наиболее удобный и продуктивный инструмент для решения конкретной задачи.

Программисты только одной платформы – еще одна головная боль лично для меня, как я считаю, для ИТ-индустрии в целом. Разработчики которые делают приложения с экспортом только в *.doc или только в *.pdf, разработчики которые привязываются к только одной устаревшей коммерческой БД (например IBM Informix, или боже упаси Firebird), только к одному типу железа (все эти нерабочие программы для x86 на андроид), я конечно понимаю что вы “привыкли”, но ребята пора меняться.

В своей работе очень часто пользуюсь не популярными, но очень удобными инструментами. Один из примеров – необходимо было уменьшить разрешение и сжать около 100 фотографий, для быстрой загрузки по 3G и выводе на iPad. В тот день я услышал одну из наиболее типичных фраз  – “Нам придется все фотографии вручную в *фотошопе* переводить к нужному виду”. Смешной она мне показалась т.к. я представил себе человека который будет вручную, как раб божий, все эти 100 фотографий переделывать в фотошопе, или пытаться автоматизировать через встроенный механизм. Дело здесь именно в том что человек настолько привязан к фотошопу, что даже не подозревал о наличии бесплатного, открытого набора инструментов как ImageMagick. ImageMagick позволяет делать с векторными и растровыми изображениями очень много вещей, в том числе идеально подошел для 5-минутного решения задачи со 100 картинками.

Будьте мастером всего, изучайте, пробуйте, не становитесь рабом конкретной корпорации.

0

How we got 30$ on Android Market

Hello dear reader. In this article I will describe my experience in creating game for Android mobile phones. Many people like the story, I think it should be published. I hope you like Runglish. It’s not a success story, but I think it will give an understanding of where to start and what to do to create a simple game. I will say about errors in game publishing process.

Hewl-Tanky

Great art by Jamie Hewlett and Alan Martin from Tank Girl comic, published without their permission
Forgive me guys, but it’s too cool

One day in 2011 I was bitten by a muse. After watching part of Tank Girl movie, I got an great idea to create arcade game in comic style. I wanted to people around say “Wow this game is awesome, dude!”
Why game for Android and not for Apple iOS? The reason is simple – I did not had the iPhone and Mac, but had a great desire to support Linux on mobile phones. At that time I liked ideology of the FSF, and Richard Matthew Stallman was my god.


You’ve gotta dance like there’s nobody watching

At the time of the development of the latest version of Android was 2.0, and also we needed to keep support for older versions since number of 1.6 users was very high. Many phone manufacturers do not even released an upgrade to version 2.0.

I immediately set a time frame for this project – one month. During this time, I had to pull knowledge of Java, explore the Android SDK, Eclipse, to meet with the monster in the face of OpenGL ES and to make friends with him. Also, it was necessary to create around six 3d models optimized for mobile devices. And we needed to release Mad Racer in Android Market (aka Google Play)

jpct_logo
jPCT-AE engine is free 3d solution for Android

Since time was short, it was necessary to choose a ready 3d engine. Create your own engine from scratch is possible, but not very productive, as the testing and compatibility with all devices will take much of the time. Prior to joining Unreal Engine, Unity, ThreeJS (HTML5), a leading engine was JPCT-AE. The engine is supplied as a ready-java library that support older versions of android. Creator of engine – EgonOlsen operatively engaged in the support and error fixing by the requests of developers.

antonHooligan

Cadres are all-important – bully Anton agreed to write the music for the game. I’ve always admired his work, his work served as a locomotive driving the whole gameplay, forcing the user to play until the last shot down the helicopter.

Where do you start? We must begin with the installation of Android SDK. Now it comes with a built-in IDE – Android Studio. But at that time the IDE and SDK are available separately. According to documentation by Google I installed Android SDK, Eclipse. And you also need to install the necessary packages for Eclipse, which provide compiler and Android emulator. An hour later I compiled a test project jpct-AE:

It was Wow! But emulator runs really slow. I decided to buy a phone on Android OS. For this purpose was I bough LG Optimus One P500. Since then I do not use Symbian OS phones with easy to use keyboard) There was problems with connecting phone to Linux, if someone found them until now, then check the udev settings.


Jobs steals a quote by Pablo Picasso

Looking at the Alien Runner, I realized that the alien can be replaced by a motorcycle and two punks with a bazooka, green hill turn to metropolis, and replace the fog to dark night from ballads of Iron Maiden.

How to make a 3d model? It’s very simple, you need to open a lesson about creating low-poly models on Youtube and do it. The whole process was to stroke the projections in 3D editor. I have found drawings of the helicopter Apache, and made a 3d model helicopter. Textures have been taken from public sources of the US Army.

McDONNELL_DOUGLAS_AH-64_APACHE

Why do I need a helicopter in the game with two punks and a bazooka? When I played the prototype, I noticed that a player can simply stand still and get points. The ideal solution proved to be a helicopter arrives and throws submarine torpedoes to player, like smiley clouds from Super Mario Bros.

Mobile devices in 2011 had limited memory and RAM. Performance was also at C grade. One ARM processor with a frequency of 300-500 MHz. The testing on the phones of friends, it turned out that the HTC had half the video memory than LG, 8MB and 4MB to-but because of that the game knocked limits of memory and does not start. All resources were are clipped to the state to get a frame rate of 30 frames per second, and the ability to run on almost everything.


Sound and music was implemented by default Android API

In Alien Runner controls was based on screen taps. I don’t liked idea of arcade game with tap controls, I have implemented control by accelerometer. Ie you turn the phone – turn the motorcycle. I enjoyed it so much that I even added a first-person view, for the true outlaws.

I needed support from the developer of jpct-AE engine when I found a bug – dark fog in front of player is just disappeared. This happened after the folding and unfolding of the application. I created a thread in the forum jpct-AE and two days later the problem was solved. I integrated the fixed version of the game engine.

Also, the question was how to implement an endless supply of vehicles. For mobile game I had to figure out a way to add machines to game scene quickly. Option with loading from slow memory or the sd card was immediately rejected. It came to the aid design pattern called object pool. When the car goes out of scope or destroyed, it is turned off and at the time when it was required to submit a new car at the beginning of the scene – it was included and was put there.

android-market

Release day. The game has been tested, a preview for friends was made, now had to go to the gold on Android Market. Register on the Android Market cost $ 20, paid. Added description, screenshots. And at that moment I realized that it is necessary to record the video.

How to record a video for the mobile project? To play game with one hand on mobile device, and record by camera in another? The decision was interesting, I used the Android emulator, played the game with a frame rate of two frames per second, recording everything that happens on the screen with the help of the program which is called something like gtkDesktopRecorder. With VirtualDub video speed has been increased up to 30 frames per second. Then, in the best video editing program – Windows Movie Maker, I added all the game sounds and music.

Now talk about errors. For promotion of the project I invested nothing, no effort or money. I then believed that the project will promote itself. The game went gold, I created a thread in the forum jpct-AE about Mad Racer. I got 12 units on the dollar in two weeks. And found the game available for free on a pile of warez sites the next day.

Singing a song FSF “Share the software” I decided to make a free version with advertising. The game has been translated into the category of AdWare, ad network AdMob banner was added to the bottom of screen. Integration with advertising system went smoothly. For a month the game has been installed on ten thousand units. From advertising network, I received $ 50.

Generally do not forget about advertising, I believe that this should be one of the major expenses of your project.

On the positive side I got job – iOS developer in one of the best companies in our city. And of course, invaluable experience.

madracerLogoLink to Google Play

Share if you liked this article)

0