Ziya Sadr
16.04.202516:08
eprint.iacr.org/2025/692.pdf
DahLIAS: Discrete Logarithm-Based
Interactive Aggregate Signatures
An interactive aggregate signature scheme allows n signers, each with their own
secret/public key pair (ski, pki
) and message mi, to jointly produce a short signature that
simultaneously witnesses that mi has been signed under pki
for every i ∈ {1, . . . , n}. Despite
the large potential for savings in terms of space and verification time, which constitute the
two main bottlenecks for large blockchain systems such as Bitcoin, aggregate signatures have
received much less attention than the other members of the multi-party signature family,
namely multi-signatures such as MuSig2 and threshold signatures such as FROST.
In this paper, we propose DahLIAS, the first aggregate signature scheme with constant-size
signatures—a signature has the same shape as a standard Schnorr signature—directly based
on discrete logarithms in pairing-free groups. The signing protocol of DahLIAS consists of two
rounds, the first of which can be preprocessed without the message, and verification (for a
signature created by n signers) is dominated by one multi-exponentiation of size n + 1, which
is asymptotically twice as fast as batch verification of n individual Schnorr signatures.
DahLIAS is designed with real-world applications in mind. Besides the aforementioned benefits
of space savings and verification speedups, DahLIAS offers key tweaking, a technique commonly
used in Bitcoin to derive keys in hierarchical deterministic wallets and to save space as well as
enhance privacy on the blockchain. We prove DahLIAS secure in the concurrent setting with
key tweaking under the (algebraic) one-more discrete logarithm assumption in the random
oracle model.
DahLIAS: Discrete Logarithm-Based
Interactive Aggregate Signatures
An interactive aggregate signature scheme allows n signers, each with their own
secret/public key pair (ski, pki
) and message mi, to jointly produce a short signature that
simultaneously witnesses that mi has been signed under pki
for every i ∈ {1, . . . , n}. Despite
the large potential for savings in terms of space and verification time, which constitute the
two main bottlenecks for large blockchain systems such as Bitcoin, aggregate signatures have
received much less attention than the other members of the multi-party signature family,
namely multi-signatures such as MuSig2 and threshold signatures such as FROST.
In this paper, we propose DahLIAS, the first aggregate signature scheme with constant-size
signatures—a signature has the same shape as a standard Schnorr signature—directly based
on discrete logarithms in pairing-free groups. The signing protocol of DahLIAS consists of two
rounds, the first of which can be preprocessed without the message, and verification (for a
signature created by n signers) is dominated by one multi-exponentiation of size n + 1, which
is asymptotically twice as fast as batch verification of n individual Schnorr signatures.
DahLIAS is designed with real-world applications in mind. Besides the aforementioned benefits
of space savings and verification speedups, DahLIAS offers key tweaking, a technique commonly
used in Bitcoin to derive keys in hierarchical deterministic wallets and to save space as well as
enhance privacy on the blockchain. We prove DahLIAS secure in the concurrent setting with
key tweaking under the (algebraic) one-more discrete logarithm assumption in the random
oracle model.
28.03.202507:33
توی این یه هفته اخیر چندتا ریسرچ داشتم انجام میدادم روی جا به جاییهای پولی که Lazarus انجام داده روی بیتکوین و یه سری نتایج مهمی دستگیرم شد.. هم کوردینیتوری که دارن اونجا میکس میکنن رو شناسایی کردم هم یه entity دیگه رو تونستم تشخیص بدم که داره ازش استفاده میشه ولی فعلا علنی نکردم تا گزارشم به دستشون برسه (احتمالا ۶-۷ روز دیگه پابلیک میکنم)
خیلی توجهها رو جلب کرده مثل اینکه و خواستم اینجا هم share کنم.
گزارش مقدماتی تشخیص اون کوردینیتور رو پابلیش کردم اینجا
https://hexforensic.com/2025/03/26/analysis-of-bitcoin-mixing-activity-linked-to-lazarus-group/
@ziya_sadr_shares
خیلی توجهها رو جلب کرده مثل اینکه و خواستم اینجا هم share کنم.
گزارش مقدماتی تشخیص اون کوردینیتور رو پابلیش کردم اینجا
https://hexforensic.com/2025/03/26/analysis-of-bitcoin-mixing-activity-linked-to-lazarus-group/
@ziya_sadr_shares
20.03.202509:10
نوروز مبارک دوستان 🍀
06.03.202519:43
مثل اینکه این ویدیو از دفتر اکسچنج روسی garantex روسی هست. همه جمع کردن رفتن چون تحریم شدن و آدرسهای تترشون هم توسط بنیاد تتر فریز شده
یه چیز بیربط: نمیدونم چرا ولی دفاتر اکسچنجها خیلی شبیه هم هست :))
@ziya_sadr_shares
یه چیز بیربط: نمیدونم چرا ولی دفاتر اکسچنجها خیلی شبیه هم هست :))
@ziya_sadr_shares
22.02.202518:18
20.02.202517:09
الان توی لایو هستم مهمونمون هم الکس گلدستین هست :)
https://www.youtube.com/watch?v=y-nrreRWdPI
https://www.youtube.com/watch?v=y-nrreRWdPI
05.04.202512:54
توی ۲-۳ سال اخیر کلاهبرداری به اسم Pig Butchering Scam خیلی رایج شده و میتونم بگم همین الان شاید توی اوج این نوع کلاهبرداریها باشیم. به فارسی نمیدونم چی میشه بهش گفت. شاید مثلا «پروارسازی برای تیغزنی» بشه گفت یا یه چیز اینطوری..
ماجرا معمولا شبیه همون کلاهبرداریهای رایج توی سوشال میدیا کار میکنه با این تفاوت خیلی مهم: اینا به جای اینکه سریع شروع به کار کنن برای دعوت شما به فرستادن پول و این حرفا.. معمولا مدت خیلی طولانیتری رو با قربانی سپری میکنن و سعی میکنن اعتمادش رو بدست بیارن. از هیچ چیزی هم دریغ نمیکنن. عکس میخوای از طرف؟ میفرسته.. ویدیو؟ میفرسته.. وویس؟ میفرسته.. کاملا هم رفیقت میشه.
توی اغلب این موارد کلاهبردار نقش معشوقه یا دوست صمیمی قربانی رو بدست میاره. یعنی اینا یه زمانی با هم آشنا شدن توی سوشال میدیا و بعد ممکنه حتی ماهها با هم در تماس بمونن. تماس تلفنی یا تصویری بگیرن و حرف بزنن و الخ.. تا بالاخره کم کم برنامهشون رو اجرا کنن و قربانی رو دعوت کنن به اینکه فلان جا حساب باز کن یا فلان کار رو با حساب بانکی یا والت کریپتوییت انجام بده و بعد پول رو از چنگ طرف در بیارن.
ممکنه الان براتون سوال بشه که خب پس چرا کلاهبردار با قربانی تماس تصویری و صوتی و اینا میگرفته و الان باید اطلاعات زیادی ازش داشته باشه. که اینجاست که باید بهتون بگم که معمولا این نوع کلاهبرداریها خیلی سازمان یافته اتفاق میفتن. تیمی که داره کلاهبرداری میکنه روشهای مختلفی رو استفاده میکنه از جمله:
- تغییر چهره و صدا با ابزارهای مختلف (هوش مصنوعی و این حرفا)
- استخدام افرادی (پسر یا دختر) که بیان جواب تماس ها رو بدن و ویدیو کال کنن و یا عکس بفرستن
- توی مواردی که مرتبط به شرق آسیا یا آسیای جنوبی باشه هم از افرادی استفاده میکنن که تحت فشار و یا با زور و اجبار این کارا رو براشون انجام میدن (معمولا میانمار، کامبوج و غیره)
دیگه درمورد روشهای جلوگیری از این نوع کلاهبرداری نیاز نیست من صحبت کنم. قربانی قطعا به اون کلاهبردار بیشتر از من اعتماد داره :)) بالاخره با اون کلاهبرداره ساعتها مکالمه داشته، عکس و ویدیو و اینا..
من کجای کارم 😂
ولی جدی اگه خودتون یا کسی رو دیدید که توی سوشال میدیا با شخصی آشنا شده و از طریق اون شخص میخواد سرمایهگذاریی جایی بکنه.. بهش هشدار بدید.
@ziya_sadr_shares
ماجرا معمولا شبیه همون کلاهبرداریهای رایج توی سوشال میدیا کار میکنه با این تفاوت خیلی مهم: اینا به جای اینکه سریع شروع به کار کنن برای دعوت شما به فرستادن پول و این حرفا.. معمولا مدت خیلی طولانیتری رو با قربانی سپری میکنن و سعی میکنن اعتمادش رو بدست بیارن. از هیچ چیزی هم دریغ نمیکنن. عکس میخوای از طرف؟ میفرسته.. ویدیو؟ میفرسته.. وویس؟ میفرسته.. کاملا هم رفیقت میشه.
توی اغلب این موارد کلاهبردار نقش معشوقه یا دوست صمیمی قربانی رو بدست میاره. یعنی اینا یه زمانی با هم آشنا شدن توی سوشال میدیا و بعد ممکنه حتی ماهها با هم در تماس بمونن. تماس تلفنی یا تصویری بگیرن و حرف بزنن و الخ.. تا بالاخره کم کم برنامهشون رو اجرا کنن و قربانی رو دعوت کنن به اینکه فلان جا حساب باز کن یا فلان کار رو با حساب بانکی یا والت کریپتوییت انجام بده و بعد پول رو از چنگ طرف در بیارن.
ممکنه الان براتون سوال بشه که خب پس چرا کلاهبردار با قربانی تماس تصویری و صوتی و اینا میگرفته و الان باید اطلاعات زیادی ازش داشته باشه. که اینجاست که باید بهتون بگم که معمولا این نوع کلاهبرداریها خیلی سازمان یافته اتفاق میفتن. تیمی که داره کلاهبرداری میکنه روشهای مختلفی رو استفاده میکنه از جمله:
- تغییر چهره و صدا با ابزارهای مختلف (هوش مصنوعی و این حرفا)
- استخدام افرادی (پسر یا دختر) که بیان جواب تماس ها رو بدن و ویدیو کال کنن و یا عکس بفرستن
- توی مواردی که مرتبط به شرق آسیا یا آسیای جنوبی باشه هم از افرادی استفاده میکنن که تحت فشار و یا با زور و اجبار این کارا رو براشون انجام میدن (معمولا میانمار، کامبوج و غیره)
دیگه درمورد روشهای جلوگیری از این نوع کلاهبرداری نیاز نیست من صحبت کنم. قربانی قطعا به اون کلاهبردار بیشتر از من اعتماد داره :)) بالاخره با اون کلاهبرداره ساعتها مکالمه داشته، عکس و ویدیو و اینا..
من کجای کارم 😂
ولی جدی اگه خودتون یا کسی رو دیدید که توی سوشال میدیا با شخصی آشنا شده و از طریق اون شخص میخواد سرمایهگذاریی جایی بکنه.. بهش هشدار بدید.
@ziya_sadr_shares
28.03.202507:25
مطمئنم یکی الان رفته توکن ghibli درست کرده داره میکنه تو پاچه ملت 🫤
से पुनः पोस्ट किया:
no bullshit bitcoin
19.03.202501:25
Demand Pool Opens Applications to Miners for Stratum V2 Mining Pool
https://www.nobsbitcoin.com/demand-pool-opens-applications-to-miners-for-stratum-v2-mining-pool/
https://www.nobsbitcoin.com/demand-pool-opens-applications-to-miners-for-stratum-v2-mining-pool/
05.03.202509:27
یه ایرانی به این اسامی که آدرساش رو هم گذاشتن مثل اینکه گرداننده بازار سیاه آنلاین به اسم Nemesis بوده
امروز توی لیست تحریمهای ofac رفته
https://ofac.treasury.gov/recent-actions/20250304
امروز توی لیست تحریمهای ofac رفته
https://ofac.treasury.gov/recent-actions/20250304
22.02.202515:52
کانال این دوستمون @cryptoanalysis_farsi خیلی مطالب جالبی توش هست. این کتاب genesis book که درمورد تاریخ رمزنگاری و مباحثی هست که باعث پیدایش بیتکوین شدن هم خیلی جالبه و ایشون داره به شکل پادکست منتشرش میکنه
کار خیلی ارزشمندی هست
ضمنا ترجمه کتاب هم توسط @stupid_risks صورت گرفته که به ایشون هم خسته نباشید باید بگم
کار خیلی ارزشمندی هست
ضمنا ترجمه کتاب هم توسط @stupid_risks صورت گرفته که به ایشون هم خسته نباشید باید بگم
16.02.202506:19
خلاصه ترین توضیح نحوه کارکرد لایتنینگ :))
01.04.202519:55
हटा दिया गया02.04.202508:02
25.03.202509:56
یه وبلاگ روی وبسایت کریستال (یکی از شرکتهایی که آدرس و تراکنش رصد و لیبل میکنه) رو داشتم میخوندم درمورد ایران و استفاده از کریپتو
یه جاییش نوشته که شرکتشون پستها و سوشال میدیای ایرانیا رو میخونه که ببینیه آدرسهاشون رو توی سوشال میدیا پست میکنن یا که درمورد روشها و استراتژیهاشون برای دور زدن و قایم کردن ردشون صحبت میکنن... و با اینکه براشون سخته و زحمت داره ولی دائم در حال انجام دادنش هستند
۱. گفتم که شما هم بدونید
۲. فکر کردن به اینکه آدما چطوری میتونن false positive ایجاد کنن سرگرم کنندهست.. :))
۳. یه دست هم تکون بدم برای کارمند دونپایهی کریستال و احتمالا دیگر کارمندان جاهای دیگه که در حال رصد پستها هستن 👋 :)))
لینک پستشون
@ziya_sadr_shares
یه جاییش نوشته که شرکتشون پستها و سوشال میدیای ایرانیا رو میخونه که ببینیه آدرسهاشون رو توی سوشال میدیا پست میکنن یا که درمورد روشها و استراتژیهاشون برای دور زدن و قایم کردن ردشون صحبت میکنن... و با اینکه براشون سخته و زحمت داره ولی دائم در حال انجام دادنش هستند
۱. گفتم که شما هم بدونید
۲. فکر کردن به اینکه آدما چطوری میتونن false positive ایجاد کنن سرگرم کنندهست.. :))
۳. یه دست هم تکون بدم برای کارمند دونپایهی کریستال و احتمالا دیگر کارمندان جاهای دیگه که در حال رصد پستها هستن 👋 :)))
لینک پستشون
@ziya_sadr_shares
11.03.202502:06
23.02.202514:02
ما حدود ۶ ماه پیش رله ایمورتال رو شروع کردیم به توسعه دادن (که هنوزم در جریان هست و تقریبا به نگارش پایداری رسیده) و هدف ویژه ای داشت که اون هم پاسخگو بودن در مقایس بالا و تحمل لود سنگین بود. برای رسیدن به هدفی که داشت لزوما ما محدود بودیم که از فرایند پیچیده و فنی ای استفاده بکنیم تا بشه یک رله ایمورتال اجرا کرد. و خب کاربر هدف هم افرادین که قصد اجرا رله های عمومی، کامینیوتی های بزرگ یا رله های پولی دارن هستن که به مشکلی بر نمیخورن.
اما نکته مهمی که وجود داره و هدف اصلیه نوستره سلف هاست کردن و جستار self sovereign هست.
ما برای این کار یه رله خیلی سبک تر توسعه دادیم که مناسب اجرا برای رله شخصی یا استفاده توی کامینیوتی های کوچیک هست.
اجرای راحتی داره، سبکه، مدیریتش پیچیده نیست و قابلیت شخصی سازی زیادی هم خواهد داشت. اما برای مقایس بالا هم پاسخگو نیست.
https://github.com/dezh-tech/alienos
یه نگاه کلی به فیچر های فعلی:
۱. پشتیبانی از نیپ های اولیه.
۲. سرور blossom داخلی برای نگهداری مدیا ها.
۳. کاملا قابل مدیریت با نیپ ۸۶.
۴. پشتیبانی از سرچ و count.
۵. پشتیبانی از ایونت های giftwrapped. (ایونت های انکریپت شده مثل دایرکت مسج ها تنها به افرادی که تگ شدن برگردونده میشن)
۶. سرور نیپ ۵ داخلی.
در اینده موارد زیر هم پشتیبانی میشن:
۱. تغییرات مهم مثل وایت لیست و یا بلک لیست شدن رو با dm نوستر به ادمین خبر میده.
۲. روی tor hidden services میتونه بالا بیاد.
۳. مشابه strfry میتونه پلاگین بگیره.
با این تفاوت که استرفرای تنها ایونت های جدید رو به پلاگین میفرسته. توی این رله شما میتونید برای دریافت فیلتر هم پلاگین تعیریف کنید. برای اپلود و دانلود مدیا هم همینطور. کاملا قابل شخصی سازی خواهند بود.
۴. به احتمال زیاد پشتیبانی از اجرا روی سخت افزار های امبرل و استارت۹.
اجرا کردن رله پیچیدگی زیادی نداره و میتونه با هزینه خیلی کمی هم اجرا بشه.
مستندات اجرا کردن رله رو کوشش میکنم ساده تر هم کنم و یه نگارش پارسی هم ازش بزارم. اگر کسی علاقه داشت خوشحال میشیم دوستان مشارکت کنن توی این زمینه.
به پیش. 🫡
اما نکته مهمی که وجود داره و هدف اصلیه نوستره سلف هاست کردن و جستار self sovereign هست.
ما برای این کار یه رله خیلی سبک تر توسعه دادیم که مناسب اجرا برای رله شخصی یا استفاده توی کامینیوتی های کوچیک هست.
اجرای راحتی داره، سبکه، مدیریتش پیچیده نیست و قابلیت شخصی سازی زیادی هم خواهد داشت. اما برای مقایس بالا هم پاسخگو نیست.
https://github.com/dezh-tech/alienos
یه نگاه کلی به فیچر های فعلی:
۱. پشتیبانی از نیپ های اولیه.
۲. سرور blossom داخلی برای نگهداری مدیا ها.
۳. کاملا قابل مدیریت با نیپ ۸۶.
۴. پشتیبانی از سرچ و count.
۵. پشتیبانی از ایونت های giftwrapped. (ایونت های انکریپت شده مثل دایرکت مسج ها تنها به افرادی که تگ شدن برگردونده میشن)
۶. سرور نیپ ۵ داخلی.
در اینده موارد زیر هم پشتیبانی میشن:
۱. تغییرات مهم مثل وایت لیست و یا بلک لیست شدن رو با dm نوستر به ادمین خبر میده.
۲. روی tor hidden services میتونه بالا بیاد.
۳. مشابه strfry میتونه پلاگین بگیره.
با این تفاوت که استرفرای تنها ایونت های جدید رو به پلاگین میفرسته. توی این رله شما میتونید برای دریافت فیلتر هم پلاگین تعیریف کنید. برای اپلود و دانلود مدیا هم همینطور. کاملا قابل شخصی سازی خواهند بود.
۴. به احتمال زیاد پشتیبانی از اجرا روی سخت افزار های امبرل و استارت۹.
اجرا کردن رله پیچیدگی زیادی نداره و میتونه با هزینه خیلی کمی هم اجرا بشه.
مستندات اجرا کردن رله رو کوشش میکنم ساده تر هم کنم و یه نگارش پارسی هم ازش بزارم. اگر کسی علاقه داشت خوشحال میشیم دوستان مشارکت کنن توی این زمینه.
به پیش. 🫡
से पुनः पोस्ट किया:
Cryptoanalysis
22.02.202515:49
ریجارد استالمن، کسی بود که مفهوم نرمافزار آزاد رو وارد جامعه کرد. ابتدا با کمک هکرها و سپس با سیستمعامل گنو/لینوکس این جنبش آزاد رو به جامعه معرفی کرد.
نتیجه این جنبش، آگاهی از لزوم محافظت از حریمشخصی و تولید بیتکوین، گنو/لینوکس و... شد.
توی این اپزود، ابتدا فرهنگ هکری رو با هم بررسی میکنیم و میبینیم توی آزمایشگاه هوش مصنوعی MIT چی گذشته. با ایده کلیسای جامع و بازار هم آشنا میشیم و اشکال مختلف توسعه یک نرمافزار رو میبینیم و متوجه میشیم چه نرمافزاری مطلوبیت بیشتری داره؟ نرمافزار آزاد یا بسته؟
اپیزود سوم رو از پلتفورمهای زیر گوش کنید:
کستباکس
اسپاتیفای
اگر از این پادکست خوشتون آمد، میتونید با مشارکت در این کمپین لایتنینگی، به من ساتوشی دونیت کنید :)
نتیجه این جنبش، آگاهی از لزوم محافظت از حریمشخصی و تولید بیتکوین، گنو/لینوکس و... شد.
توی این اپزود، ابتدا فرهنگ هکری رو با هم بررسی میکنیم و میبینیم توی آزمایشگاه هوش مصنوعی MIT چی گذشته. با ایده کلیسای جامع و بازار هم آشنا میشیم و اشکال مختلف توسعه یک نرمافزار رو میبینیم و متوجه میشیم چه نرمافزاری مطلوبیت بیشتری داره؟ نرمافزار آزاد یا بسته؟
اپیزود سوم رو از پلتفورمهای زیر گوش کنید:
کستباکس
اسپاتیفای
اگر از این پادکست خوشتون آمد، میتونید با مشارکت در این کمپین لایتنینگی، به من ساتوشی دونیت کنید :)
से पुनः पोस्ट किया:
gooyban🦆
02.02.202507:49
وضعیت ممپول بیتکوین 🪙 جوریه که شاید دیگه هیچوقت همچین حالتی پیش نیاد!
اگه قراره چیزی جابجا کنید، کانال لایتنینگ باز کنید، کانال ببندید.
تراکنشی داشتید گیر کرده بوده، (با حفظ موارد مربوط به حریم خصوصی) نیاز به یکی کردن UTXOها دارید، الان وقتشه!
الان عملا به رایگان میتونید انجامش بدید!
پ.ن: واقعا فکر نمیکردم یه روزی دوباره چنین صحنهای را ببینم!
@gooyban #bitcoin
اگه قراره چیزی جابجا کنید، کانال لایتنینگ باز کنید، کانال ببندید.
تراکنشی داشتید گیر کرده بوده، (با حفظ موارد مربوط به حریم خصوصی) نیاز به یکی کردن UTXOها دارید، الان وقتشه!
الان عملا به رایگان میتونید انجامش بدید!
پ.ن: واقعا فکر نمیکردم یه روزی دوباره چنین صحنهای را ببینم!
@gooyban #bitcoin
से पुनः पोस्ट किया:
IranCoin ️ ایرانکوین
+1
01.04.202514:51
یک دیکشنری جدید بیتکوینی گذاشتم.
کل برنامه با AI ساخته شده.
سایت http://bitcoind.me یه واژه نامه داشت که قبلاً براش یه ui ساخته بودم.
نسخه جدیدشو میتونید اینجا دانلود کنید:
https://github.com/Trusttobitcoin/BitcoinDic/raw/master/app/release/app-release.apk
اگر براتون مفید بود به بقیه هم بدید، سورسش هم همونجا تو گیت گذاشتم.
🔗 Zero
〽️ @irancoin
کل برنامه با AI ساخته شده.
سایت http://bitcoind.me یه واژه نامه داشت که قبلاً براش یه ui ساخته بودم.
نسخه جدیدشو میتونید اینجا دانلود کنید:
https://github.com/Trusttobitcoin/BitcoinDic/raw/master/app/release/app-release.apk
اگر براتون مفید بود به بقیه هم بدید، سورسش هم همونجا تو گیت گذاشتم.
🔗 Zero
〽️ @irancoin
11.03.202502:06
📿 🤲
23.02.202511:07
من سالها راجع به اسکم و کلاهبرداری توی فضای "کریپتو" نوشتم و صحبت کردم. یه چند سالی هست که کلا خیلی کمتر به اسکمها میپردازم چون زحمتش و انرژی لازم و دردسراش خیلی خیلی زیاد بود برام و خیلی اذیت هم شدم توش. بعدترها تصمیم گرفتم که فعالیتم رو محدودتر کنم و فقط روی تحقیق و محتوا و مباحثی که برام جذاب هست تمرکز کنم چون انرژیی که صرفش میکنم رو حداقل با علاقه انجام میدم.
اینا رو گفتم که یه تشکر و قدردانی کنم از کار دوستانی که علیه اسکمها فعالیت میکنن. کارشون رو ارزشمند میدونم و دمشون گرم که همچین فعالیت مهمی رو با همهی زحمتها و حتی ریسکهایی که داره ادامه میدن.
@ziya_sadr_shares
اینا رو گفتم که یه تشکر و قدردانی کنم از کار دوستانی که علیه اسکمها فعالیت میکنن. کارشون رو ارزشمند میدونم و دمشون گرم که همچین فعالیت مهمی رو با همهی زحمتها و حتی ریسکهایی که داره ادامه میدن.
@ziya_sadr_shares
22.02.202500:21
نشستم کل لایو این اکسچنج bybit رو گوش دادم و توضیحاتشون رو شنیدم که ماجرا چیه.. از حرفاشون میشه فهمید که کل ماجرای هک شدن بیش از ۱ میلیارد دلار سرمایه کاربراشون به این شکل بوده:
۱. اول اینکه اینا از چندامضایی ابزار safe رو استفاده میکردن (معلوم نیست چندتا امضا البته) و حداقل مدیرشون (آخرین امضا) لجر استفاده میکرده
۲. در قدم اول هکر همهی کسانی که امضا میزنن (cosigner) رو شناسایی و تارگت کرده
۳. و نحوه کارکرد پروتوکل درون سازمانی این اکسچنج رو فهمیده (چه مدت و به چه چیزایی دسترسی داشتن که تونستن اینا رو بفهمن؟)
۴.در قدم بعدی اینکه همهی سیستمهای cosignerها رو به بدافزاری که یه سری اطلاعات موردنیاز رو تغییر بده آلوده کرده
۵. رابط کاربری (UI) ابزارها و نرمافزارهایی که استفاده میکردن رو دستکاری کرده
۶. همهی cosignerها هم بدون شک کردن امضا کردن (البته مدیرشون میگه یه اشتباهم این بود که کل تراکنش رو چک نکردم و تاییدش کردم)
یه ذره باور کردنش سخته اما باشه...
@ziya_sadr_shares
۱. اول اینکه اینا از چندامضایی ابزار safe رو استفاده میکردن (معلوم نیست چندتا امضا البته) و حداقل مدیرشون (آخرین امضا) لجر استفاده میکرده
۲. در قدم اول هکر همهی کسانی که امضا میزنن (cosigner) رو شناسایی و تارگت کرده
۳. و نحوه کارکرد پروتوکل درون سازمانی این اکسچنج رو فهمیده (چه مدت و به چه چیزایی دسترسی داشتن که تونستن اینا رو بفهمن؟)
۴.در قدم بعدی اینکه همهی سیستمهای cosignerها رو به بدافزاری که یه سری اطلاعات موردنیاز رو تغییر بده آلوده کرده
۵. رابط کاربری (UI) ابزارها و نرمافزارهایی که استفاده میکردن رو دستکاری کرده
۶. همهی cosignerها هم بدون شک کردن امضا کردن (البته مدیرشون میگه یه اشتباهم این بود که کل تراکنش رو چک نکردم و تاییدش کردم)
یه ذره باور کردنش سخته اما باشه...
@ziya_sadr_shares
31.01.202507:10
صرافها دو روز بعد از اینکه تتر روی لایتنینگ بیاد:
+ نرخ رو با مشتری بستم ولی کانالم به سقف خورده
- نود ت رو بده بهت کانال بزنم
+ نه بیا سابمارین سواپ کنیم تو بیت آنچین بزن برام، فیش هم بذار رو حساب من
- میخوای بگم بچهها بیان ریبالانس کنن؟
+ نه داداش شبای طرف الان نشسته به حساب، اینویسش هم داره اکسپایر میشه
:)))
@ziya_sadr_shares
+ نرخ رو با مشتری بستم ولی کانالم به سقف خورده
- نود ت رو بده بهت کانال بزنم
+ نه بیا سابمارین سواپ کنیم تو بیت آنچین بزن برام، فیش هم بذار رو حساب من
- میخوای بگم بچهها بیان ریبالانس کنن؟
+ نه داداش شبای طرف الان نشسته به حساب، اینویسش هم داره اکسپایر میشه
:)))
@ziya_sadr_shares
दिखाया गया 1 - 24 का 71
अधिक कार्यक्षमता अनलॉक करने के लिए लॉगिन करें।