Pull to refresh
0
0
Stanislav Povolotsky @StasPo

R&D

Send message
На самом деле уязвимости в самом сервисе эксплуатировали и другие участники (как минимум те, кто смог залогиниться, обойдя двухфакторную авторизацию).
Мы, например, юзали «обход защиты механизма отложенных платежей». И никакого ARP-спуфинга.
У меня только один вопрос к RDot: почему вы не вернули украденное у вас себе обратно (с помощью «обхода защиты механизма отложенных платежей»)?
Спасибо ptsecurity за интересный конкурс!

Что понравилось:
— Архитектура системы ДБО с фронтэндом и бэкэндом, чистенький и понятный PHP-код.
— То, что виртуалку с ДБО дали всего за день до конкурса (у всех было примерно одинаковое время на поиск уязвимостей). В прошлый раз виртуалка была доступна для скачивания за неделю, и кто-то всю неделю спокойно исследовал, а кто-то в ночь перед конкурсом.

Чего не хватало в конкурсе:
— Защиты от ARP-спуфинга (может в следующий раз настроить на свиче привязку по MAC'у или настроить доступ к серверу по HTTPS ну или предупредить, что спуфинг разрешён)
— Защиты от DOSа на сервере (ограничить бы количество запросов в секунду от каждого участника)

С удовольствием поучаствую в конкурсе и в следующем году, если всё-таки решите его устраивать.
Теоритически манипулировать с голосами могли бы и не на ROI, а некие внешние злоумыленники через XSS-уязвимость (которую до сих пор не закрыли): www.roi.ru/error/authentication-incorrect?token=%3Cimg%20src=http://i.imgur.com/sFmJspZ.png%3E
Подозреваю отозвать через неё голос залогоненого на ROI пользователя не сложно…
По поводу decision_id — думаю раньше использовался, когда возможных «решений проблемы» было более одного (пример: www.roi.ru/3729).
Но активных инициатив, на которых можно проверить это предположение что-то сходу не нешёл (может уже нельзя такие создавать?)
1) Ясно, да упоминание в FAQ не помешает

2) Спасибо, разобрался, это моя ошибка, я думал надо считать «в лоб», т.е.
295% в год = (100%+295%) / 365 / 24 / 60 / 60 = 0,0000125254% в секунду
Если при расчётах учитывалась бы только обещанная сумма, то такая формула прокатила бы — была бы линейная зависимость (каждый день бы прибавлялось по 1,08% от обещанной суммы). Но так как учитывается «обещанная сумма» + «капитализация процентов по обещанной сумме», то подходит только экспоненциальная формула.

Кстати, ради любопытства посчитал сколько выйдет, если майнить DUSD с текущими процентами (1000%) при обещанной сумме 1000USD за 11 лет:
— По Вашей формуле: 290991000000000 DUSD (2,90991E+14)
— По линейной формуле: 111082 DUSD

Кстати, если для всех математических операций используется обычный float в PHP, то после такого 11-летнего майнинга получится «бездонный кошелёк»: :)

Проверка:
<?php print 2.90991E+14 === (2.90991E+14-0.01); ?>
Output: 1
Потихоньку экспериментирую с системой. Возникла пара вопросов:

1) У меня получилось так:

15.07 получил статус: miner
17.07 смена статуса из-за баллов, статус: user


Это несколько странно и нелогично, т.к. за 2 дня было невозможно было набрать необходимые 10 баллов — не было столько голосований. Статус пересчитывается раз в месяц каждое 17 число или для каждого пользователя по-своему?

2) Также возник вопрос по поводу начислений: дело в том что «фактический майнерский процент» не совпадает сейчас ни с майнерским процентом, ни с пользовательским процентом и составляет сейчас по моим расчётам:

Майнинг WOC: 138% (Должно быть 600% или 295%)
Майнинг USD: 179% (Должно быть 1000% или 490%)


То есть актуальные проценты и близко не похожи на заявленные. Более того, даже соотношение ActualMinerUSD%/ActualMinerWOC% не похоже на MinerUSD%/MinerWOC% или UserUSD%/UserWOC%.
Спасибо за развёрнутый ответ!
Пойду, поэкспериментирую с системой.
Хотел бы задать ещё парочку вопросов:

1) Как часто генерируется новый блок? Я так понял если все ноды, которы будут оказываться на 0-м уровне, будут генерировать блок сразу, то может быть хоть 100500 блоков в секунду?
2) Как часто майнерам начисляется майнерский процент и пользователям пользовательский процент? С каждым новым блоком?
3) Делим ли DCoin? То есть какая минимальная единица валюты (0.00000001 как у bitcoin'а)?
4) Есть-ли какая-либо защита от «спама» транзакциями? Что будет если я решу сделать 100000 переводов по 0,00001 DCoin'у? Все попадут в базу?
5) Есть-ли защита от двойной траты? Если к двум нодам попадут транзакции на макс. сумму, но с разными получателями, то победит та транзакция, которая будет первой включена в новый блок, а остальные ноды должны будут синхронизироваться с нодой, сгенерировшей блок?
6) Что будет, если при генерации нового блока нода 0-го уровня не сгенерирует новый блок (например будет выключена), потом придёт нода 1-го уровня и сгенерирует блок, а потом (например через день) нода 0-го уровня включится и сгенерирует новый блок на основе старой базы (со старым временем) — все транзакции за день станут невалидными и будут отброшены? Если нет, то почему? Потому что цепочка, начинающаяся с блока, сгенерированного нодой 1-го уровня, будет длиннее?
7) И самый главный вопрос: Dcoin уже сейчас можно пытаться использовать? База не будет сброшена, после того, как выйдет Dcoin v1.0?
Зарегистрировался, чтобы посмотреть, как это устроено своими глазами:

Попытался использовать систему, как пользователь:
— Во вкладке «Мои кошельки» нет ни одного кошелька, ни возможности их создать или пополнить. Не понял почему? Возможно ещё не реализовано?
— Для всех остальных действий, похоже надо быть «майнером»

Попытался зарегистрироваться как майнер:
— Некоторое время заявка висит в статусе «в процессе», после чего «Статус: Ошибка. Запрос не отправлен»
— Натыкался на всякие мелкие недоработки типа «Через Internet Explorer 10 фотки не залить — обрезка работает некорректно»

Вердикт:
— на данный момент всё очень сыро (понимаю, что v.0.0.4b1 — версия ещё очень ранняя, но всё же)
— система слишком сложна, у сложной системы с кучей настроек, на мой взгляд меньше шансов выжить и стать популярной, чем у простой (да и сложнее такую систему отполировать до блеска)
— нет простой инструкции для пользователя (раз — зарегался, два — пополнил счёт, три — оплатил/перевёл на другой счёт)

PS. Не верю, что у системы получится стать популярной, но всё-таки желаю автору, чтобы всё получилось! (я и в bitcoin 5 лет назад не верил)
У меня аналогичная ситуация. RSDelivers не может назвать точную дату отправки, так что наверное даже не выслали.
Пытаюсь сделать возврат на PayPal'е. Наверное получится, так как RSDelivers даже не пытается ответить ни на PayPal Dispute, ни на Claim.
У гуглхрома есть забавный баг — при открытии новой страници он иногда светит рабочий стол. Забавные у вас там видео лежат. (Кадр 3426 0:01:54.200)

Information

Rating
Does not participate
Location
Санкт-Петербург, Санкт-Петербург и область, Россия
Date of birth
Registered
Activity