Kriptotőzsde szemle az 51% és Cryptopia-botrányok tükrében

A 2019 január 14.-ei Cryptopia botrány előtt több jel is figyelmeztetett minket a bajra, ebben a cikkben ezekre szeretnék rávilágítani. Pár hónapja történt például, hogy sok kiutalást indítottam az említett tőzsdéről. Átlagban százból 1-2 elveszett, egyszerűen nem kaptam meg. Nem megbízható rendszerre soha nem bízzuk a pénzünk. De most tényleg, ha ezt nem tudják rendesen megoldani, akkor mit?

A helyzet az, hogy nagyon keveset tudunk arról, hogyan tárolják a pénzünket. A legtöbb tárcáról és tőzsdéről nem tudjuk, hogy milyen hidegtárcákat használnak (ugye használnak?), onnan hogyan kerül az online tárcákba az összeg amikor utóbbi kiürül, vagy hogyan kapcsolódik a webes platform a csomópontokhoz. Azonban rengeteg látható információ van, ami alapján kiszórhatjuk a tőzsdék nagy részét. A képlet egyszerű: ahol bármilyen apró hibát is találunk, oda egy fillért sem utalunk. A készpénzedet sem bíznád egy idegenre, csak azért, mert van egy jó weblapja és egy kis marketingje, a bitcoinoddal se tedd!

2018 novemberében egy sikeres 51%-os támadás eredményeként körülbelül 571 000$ összegű AurumCoin tűnt el a Cryptopiáról. A kisebb coinokat kevesebben bányásszák, azokat a legkönnyebb támadni, a Cryptopián pedig az összes ilyen shitcoin listázva volt. Ezt a fajta támadást a megerősítések számának növelésével lehet kivédeni, ez viszont a felhasználói élményt rontja. Egy olyan algoritmus megoldás lehet, ami dinamikusan változtatja a minimum megerősítés számát, de eddig ez csak ötletként merült fel bennem; az éppen mozgatott coinok értékét és a bányászköltségeket összevetve meg lehet állapítani azt a határt, ahol már nem érné meg 51%-os támadást indítani a hálózat ellen.

Például ha adott dollárba kerül az ethereum classic (ETC) hálózat támadása egy órán keresztül, akkor fele annyi nyereségért nem fogják támadni a hálózatot, ez veszteséges akció lenne. Ha az elmúlt órában mozgatott ETC kevesebb, mint a hálózat támadási költsége, akkor az egy óra várakozás (vagyis 256 blokk megerősítés) elég. Ez persze jóval összetettebb, sokszor talán több nap lenne az így kapott megerősítési idő egyes shitcoinoknál. A számítás egyébként világosan mutatja, hogy nagyon is megéri támadni kisebb kriptovalutákat, és hiába emelték fel az ETC megerősítésének limitjét, az altcoinok többségénél nem történt változás. Csak Murphy kedvéért megemlítem: mi lenne, ha egy nagyobb BTC pool átállna BCH-t támadni? Egyedül átvehetné az irányítást a blokkláncon. Azokról a shitcoinokról ne is beszéljünk, amit eleve alig bányásznak páran (azt is veszteségesen), egy nagyobb bányásznak csak át kell állítania a kártyáit, és bármikor kész a dupla költés.


Most pedig következzen pár kriptotőzsde, a teljesség igénye nélkül. A legnagyobb tőzsdéket próbáltam elemezni biztonsági szempontból (az előbb említett sérülékenységekre figyelmet fordítva), de biztos vagyok benne, hogy van, ami kimaradt, úgyhogy bátran írjátok meg kommentben, mit hiányoltok.

Gate.io

Ez a kriptotőzsde volt a januári ETC támadás áldozata. Érdekes egyébként, hogy az eltűnt 270 ezer dollárból állítólag százezret visszautaltak a hackerek. A Gate.io webes felületével egyáltalán nem vagyok megelégedve, a Depositra kattintva ez a felirat fogad:

Szóval nekem kell frissítenem az oldalt, miután vártam egy kicsit? Ez valami vicc? Miért kell várnom egyáltalán? És az, hogy egy automatikus ajax lekérés helyett nekem kell az újratöltést nyomogatnom, hihetetlenül amatőrré teszi az egészet. Egyszerűen tartsátok magatokat távol az amatőr oldalaktól. Ahol a frontend problémás, ott jó backendre ne számítsunk.

Binance

Szinte az egyetlen top tőzsde, amelyik nem hamisítja a kereskedési volument a www.blockchaintransparency.org adatai szerint. Igaz, saját shitcoinjukat (BNB) ott tukmálják, ahol tudják, de mint üzleti fogás, minden elismerésem. Hozzáértő szakemberek működtetik a tőzsdét, pár hónap alatt egy ilyen rendszert létrehozni óriási teljesítmény. Voltak aggályaim a belépés biztonságosságával kapcsolatban, mivel szerintem a Geetest captcha („nem vagyok robot” ellenőrző) nem túl hatékony, de az igazság az, hogy a Binance bejelentkezési felülete enélkül is teljesen biztonságos. Hogy miért van, nem tudom, talán csak dísznek.

Most komolyan, ezt a leghülyébb AI is felismeri

Egyébként fontos megjegyezni, hogy nincs feltörhetetlen captcha (ráadásul egész olcsó megoldásukra embereket bérelni), úgyhogy minden más tőzsdét, ahol ez az egyetlen védelem, kerülni kell! (Tavaly például a google recaptchájáról derült ki egy óriási hiba, tehát kezeljük úgy, mintha nem is lenne).

Egy hacker feltörhet egy fiókot brute force módszerrel is (avagy minden jelszót végigpróbál, és egyszer eljut a tiédhez). A Binance 5 hibás próbálkozás után két órára blokkolja a fiókot, így ez a módszer itt nem működik. Csak azért részletezem ennyire, mert bizony van kriptotőzsde, ahol nem tudtam kitiltani magam a fiókomból. Ne feledjük, hogy hiába van két faktoros belépés, ha a 2FA kódot is lehet brute force-olni. Ráadásul csak 106 = 1000000 variáció van a hat számjegy miatt, tehát egész hamar lehet találni egy aktuálisat.

A kiutalások nagyjából időben teljesülnek, egy DASH tranzakciót viszont pár hete négyszer kellett elindítanom, így az több órás késéssel teljesült. A support leterheltségre hivatkozott, bár nem történt semmilyen esemény, illene elhárítani ezeket. A nem sikerült utalás összegét pár óra múlva automatikusan visszaírták, próbálhattam újra.

HitBTC

Nem a legstabilabb kriptotőzsde, a kilépés gombra kattintva például egy „too many requests” felirat fogadott (ezek szerint legalább rate-limitjük van), egy daytradernek ez épp elég indok, hogy ne kereskedjen a HitBTC-n. Az API-juk ellenben egész megbízható, tesztelgetni, próbálgatni tökéletes, sok pénzt viszont én biztosan nem bíznék rájuk. A kiutalási díjak átlag felettiek, de legalább automatikusan változnak mempool mérettől függően. A támogatásra nagyon ne számítsunk, de gondolom ez nem újdonság, nem tudok olyan tőzsdét, ahol 24 órán belül válaszolnának hibajegyeinkre. A kiutalások teljesítési ideje elég ingadozó, az elmúlt héten volt 3 másodperces és 2 napot várakozó USDT transzfer is.

A felhasználói felület egyébként egész barátságos, de a kereskedési oldal optimalizálása nem sikerült tökéletesen, sajnos a sok java script még az izmosabb számítógépeket is megterheli. A chartok megjelenítéséhez a TradingView-t használják, ami profi eszközöket kínál elemzéshez. (ez már a Binance-en is megjelent egyébként opcionálisan)

Bittrex

A nagy népszerűségnek örvendő kriptotőzsde a Binance megjelenésével indult el a lejtőn. Drágább is volt, de a legnagyobb lökést a hirtelen bevezetett kötelező azonosítás adta: hónapokig kellett várni, hogy a beküldött személyi igazolvány képeket ellenőrizzék, egy barátom fél évig nem is tudta kiutalni bent ragadt coinjait.

Biztonsági problémát a weblapon nem találtam, csupán a dupla belépés idegesít, de az nagyon. Feleslegesebb, mint a Binance captcha. Jelszavas és 2FA belépés után küldenek egy emailt – nagyon helyesen. Az üzenetben van egy link, amire kattintva ismét beléphetünk – email, jelszó, 2FA megint. Ahhh, mintha nem lehetne munkamenetet kezelni, vicc az egész – próbáld csak ki mobilról.

Yobit, Trade Satoshi

Keress rá kedvenc shitcoinodra, és nézd meg, melyik tőzsdéken listázták őket. Ez a kettő szinte biztosan köztük lesz. Az ilyen tőzsdék nagyon hasznosak, ha bukni szeretnél valamelyik épp megindult noname ICO-n, de a konyhapénzt semmiképp se ezeken tároljátok. Shitcoin, shittőzsde, nincs ezen mit szépíteni – és ahol shitcoin, ott 51% támadás, ahol támadás, ott pedig a tőzsdék csődbe mennek. De kerüljétek a mostanság előkerült volumenhamisító tőzsdéket is: ha van, amelyikről nem hallottatok még, akkor az nem véletlen – senki sem használja őket.

Kucoin

A Kucoin a Binance-hez hasonlóan ICO-ként indult. Mindkettő Hongkongi székhelyű, és nagyon gyorsan nőtt ki a semmiből. A Kucoinnak is van saját coinja, ám a Binance-el ellentétben ezzel nem csak a fee-ket fizethetjük, hanem a kriptotőzsde nyereségének egy részét leosztják a KCS tulajdonosok között. Affiliate programja többszintű, a biztonság terén hasonló pontszámot adnék neki, mint a Binance-nek. Ami a supportot illeti, a Kucoin egyértelműen megnyerte az összehasonlítást a 0-24 live chat szolgáltatásával.

Coinbase

Ami a biztonságot illeti, ez a platform is a legjobbak között szerepel. A Coinbase pro kereskedési díja sem túl elszállt (ellenben az alap Coinbase árakkal), cserébe FIAT pénzekkel is kereskedhetünk. Jellemzően azokban a pillanatokban, amikor óriási szükségünk lenne az oldalra, akkor nem elérhető. Emiatt egyébként árfolyam-manipulációval többször gyanúsítottak a céget. Egy kevésbé ismert termékük a Paradex, ahol egyenesen a tárcánkból kereskedhetjük az ERC20 tokeneket.

Bitstamp

Ha már fiat-crypto kereskedésnél tartunk, a Bitstampet mindenképpen meg kell említeni. Erős pénzügyi alapokkal rendelkezik, CEO-ja nyilatkozatából pedig kiderül, a Bitstamp hosszútávon tervez. 2018 októberében a Bitstamp-ot felvásárolta a belgiumi NXMH befektetési vállalat, 2019-ben együttműködést írt alá Svájc vezető online bankjával a Dukascopy-val.

Uphold

Úgy gondoltam, a nagy magyar népszerűségre való tekintettel ennek az online pénztárcának is itt a helye. Ez nem kriptotőzsde, inkább egy Revoluthoz hasonló online tárca, ami kriptovalutákat is kezel. A legjobb felhasználói felület díját biztosan megnyerné, nem csak esztétikus, hanem nagyon könnyen használható, a mobil appjukat is beleértve. Az egyetlen probléma az átváltási ár: ha aranyba szeretnénk fektetni a pénzünket, majdnem 4%-ot kell fizetnünk, de kripto-kripto váltásért is sokat elkérnek, emiatt nem is ajánlom senkinek. Supportjuk egyébként nem rossz, egy önhibámon kívül elvesztett összeget visszatérítettek, miután a rendszer rossz címre küldte (10-15 dollár volt kb).

Nos mára ennyi lett volna, ha hiányoltok valamit a listából, kommentben várjuk a kiegészítéseket, véleményeket. Folytatása következik…