Categories
Tutorial WAX

Creating Snapshots

Why bother with snapshots?

Although a snapshot service is currently not part of the Office of Inspector General Guidelines (anymore), there are still reasons why you might want to set up a snapshot solution.

If you are spinning up a node using Snapshots (e.g. a producer, generally not possible for e.g. history nodes), it is important to use an up-to-date snapshot in order to reduce set up time. When you operate your own snapshot service, you can ensure that you always have access to a recent snapshot.

The second advantage of operating your own snapshot service is security: If you are setting up e.g. a producer node, trust should be a real concern. Not saying, that anybody on the WAX Blockchain is manipulating their snapshots, just saying that technically it would be possible and that your own snapshot solution, will help to address these trust issues.

Step 1 – Setting up a node

We highly suggest having a dedicated node just for creating snapshots. Although your snapshot will be created within minutes (depending on the chain size), your node will have a very poor performance during that time. The node is basically useless while creating your snapshot. Just set up a node as you usually would.

Step 2 – Configuring your config.ini

In order to create your snapshots, you will need to have the producer_api_plugin enabled. This plugin has the producer_plugin as a dependency (and chain_plugin and http_plugin but you will probably have these enabled already). In order to enable these plugins, make sure to add the following lines to your config:

plugin = eosio::producer_plugin
plugin = eosio::producer_api_plugin

and of course

plugin = eosio::chain_plugin
plugin = eosio::http_plugin

Step 3 – Creating a snapshot manually

You can create a snapshot by executing the following command

curl -X POST http://127.0.0.1:8888/v1/producer/create_snapshot

This assumes that the IP-Address of your node is 127.0.0.1 (localhost). and the API Port is specified as 8888. Change these if needed. In case you are using Docker to host your nodes, you can check the IP-Address of the container with:

docker inspect CONTAINERNAME

This will yield you will all the necessary network information. (By the way if you don’t know this already: If you are running your Snapshot Service in a docker container as well, you don’t have to mess around with IP-Addresses. Just use the containername instead and make sure both containers are in the same network. Docker will resolve the according IP-Address automatically).

Step 4 – Specifying the snapshot directory

The snapshots will be saved in the data/snapshots directory by default. In order to specify a custom directory, you will need to set the “data-dir” option in your config. In case you are using docker, it would make more sense to not mess around with these settings, but instead to mount your volumes accordingly.

Step 5 – Set up your Snapshot service

This tutorial is not really about setting up an actual snapshot service. But now that you know how to create a single one, all that is left to do, is automating that task using a script. Regardless of your implementation, here are some things to consider:

  • Frequency: Creating one snapshot per day, should be enough. But feel free to experiment with other frequencies
  • Compressing your snapshots: When downloading your snapshots to other servers, size matters. For that reason, you should consider compressing your snapshot e.g. using the “.tar.gz” file format.
  • Deleting old snapshots: Snapshots can rack up quite some disk space pretty fast. Consider deleting older ones, while keeping at least one per major node version (1.8 and 2.0 etc.)

Helpful links:

If you are looking to set up a snapshot service fast, you can have a look at the open-source code from Charles from the folks at Sentnl:

https://github.com/ankh2054/snapshot-service

Official Documentation:

https://developers.eos.io/manuals/eos/v2.0/nodeos/replays/how-to-generate-a-snapshot

Categories
Tutorial WAX

Claiming Rewards on WAX

Why claim rewards?

This should go without saying: For every block produced, a block producer receives a certain amount of rewards (in WAX). These rewards have real value and can be used to either buy items in WAX or can be exchanged for other currencies. These rewards are not automatically transferred to the block producer’s account, but instead, have to be claimed manually (or with a script). On WAX, GBM Rewards can be received on already claimed producer rewards. Unclaimed rewards mean missed GBM rewards and therefore missed money.

We highly recommend claiming your rewards frequently.

How to claim Rewards?

There are three options:

1. Automatically claiming rewards (recommended)

Claiming rewards is one of these things, you want to set up once and then just forget about it. Therefore, we highly recommend using some sort of tool or script for that. There are tools like e.g. Waxy, that automate that task for you. We have not tested these tools, instead, we like to set up our script on our own infrastructure. It gives us greater control and after all, it is pretty easy to setup. Just write a quick script yourself or have a look at our code, which can be deployed via docker.

2. Using bloks.io (user friendly)

There is no real reason why you want to claim your rewards manually. But in case you really need to, bloks.io offers the most user-friendly way of doing so. Just head over to the EOSIO account. Then under Contract -> Actions you will find an option for “claimrewards”. Select that option and fill in your account data.

3. Manually claiming with an API / Cleos

Manually performing an API request can be easily done with e.g. Cleos. You willl need to use the fillowing action for claiming rewards. Just exchange actor & owner with your own account name and replace permission with the name of your permission, you are signing with e.g. “active” or preferable a custom permission such as “claimrewards”.

{
            account: "eosio",
            name: "claimrewards",
            authorization: [
              {
                actor: "blacklusionx",
                permission: "active",
              },
            ],
            data: {
              owner: "blacklusionx",
            },
          }

A few words about Security:

Regardless of how you choose to claim your rewards: You should always use a custom permission only dedicated to claiming rewards. You can learn how to create custom permissions in this tutorial. Basically, the custom permission will only be able to sign the “claim rewards” action. This will ensure that no other transactions can be signed. This prevents any scripts or people from creating harm to your account, that get hold of your key.

How often should I claim rewards?

On some EOSIO based blockchains, you can technically claim your rewards how often you want. On WAX this seems to be limited to once per day. In our opinion, this is a useful limitation: Depending on your local tax laws, every claim has to be considered with the current exchange rate in your tax report. More claims mean more effort when creating your tax report. Only claiming once per day is a great mix between claiming frequently and having a small number of transactions (~30 per month) to keep track of. There is no real reason to claim more often anyway.

What about Testnet?

Claiming your rewards on Testnet is not that important, since Testnet rewards have no real value. That being said, we would still recommend claiming your rewards on the Testnet for two main reasons: 1. It allows you to test your Permission setup and Infrastructure/Script configuration 2. Although money is made on Mainnet, the Testnet is still an important key for the future development of WAX and products built on WAX. Testnet should be treated the same way as Mainnet is treated. Claiming your rewards on Testnet indicates a clean setup and that you are taking Testnet seriously. Additionally claiming your rewards on Testnet means next to no effort, anyways.

Categories
General WAX

“Private Key” Management einfach erklärt

Dieser Artikel wurde ursprünglich von WAX sw/eden geschrieben und von Blacklusion auf Deutsch übersetzt.

Orginaler Artikel: https://waxsweden.org/private-key-management-for-dummies/

Sobald Sie etwas Wert auf Ihrem Konto haben, sollten Sie sich einen Moment Zeit nehmen und sich ansehen, ob Ihr Ansatz zur Schlüsselverwaltung ausreichend ist. Der Zweck dieses Artikels ist es, durch reale Fallbeispiele zu informieren und aufzuklären, was passieren kann und wie Sie das Risiko verhindern oder zumindest verringern können.

Es ist nicht nur der durchschnittliche Benutzer, der ein schlechtes privates Schlüsselmanagement hat, sondern auch technische Teams. Es gibt mehrere BPs/Gilden in EOSIO-Ketten sowie Großkunden, die ein schlechtes Schlüsselmanagement haben. Dies ist ein unvorsichtiger Risikofaktor…Gehören Sie nicht zu dieser Gruppe.

Es gibt eine Menge Schritte, die jeder unternehmen kann, um die mit der Schlüsselverwaltung verbundenen Risiken zu verringern. Einige davon sind wirklich ziemlich einfach und können mit wenig bis gar keinen Mitteln durchgeführt werden. Wenn Ihnen das Angst macht, gut, das sollte es auch. Jedes Jahr werden Unternehmen um Milliarden von USD erpresst, und die Krypto-Community verliert Millionen von Geldern. Vieles davon könnte durch ziemlich einfache Maßnahmen verhindert werden… also noch einmal… Gehören Sie nicht zu dieser Gruppe, so lustig ist es nicht.

Checkliste zur grundlegenden Verwaltung privater Schlüssel und Konten

  • Generieren Sie Ihre Schlüssel auf einem sicheren Gerät
    • Ihr alltäglicher Computer ist wahrscheinlich nicht sicher
    • Ihr Smartphone ist wahrscheinlich nicht sicher
  • Verwenden Sie eine vertrauenswürdige Hardware-Lösung (z.B. yubihsm2, Ledger)
  • Eine Laminierte Papier Kopie des privaten Schlüssels ist normalerweise eine gute Idee
  • Owner Key (Besitzerschlüssel) nicht auf einem Telefon speichern
  • Owner Key nicht auf einem Gerät mit mehreren Benutzern speichern
  • Owner Key nicht auf einem Rechner, der Internetzugang hat speichern
  • Owner Key nicht online (oder auf einem entfernten Rechner) speichern
  • Owner Key nicht zu einer Wallet hinzufügen, es sei denn, Sie beabsichtigen, ihn zu benutzen und zu auszutauschen
  • Behandeln Sie den Owner Key als Ihr größtes Geheimnis, das niemand wissen darf.
  • Keine willkürlichen Wallets verwenden, sie können bösartig sein
  • Keine Dateien von Telegrambenutzern öffnen (auch nicht aus vertrauenswürdigen Quellen)
  • SMS oder E-Mail nicht als zwei Faktor Authentifizierung verwenden
  • Private Keys nicht auf Papier ausdrucken, sie werden wahrscheinlich im Drucker gespeichert.
  • Private Keys nicht per E-Mail verschicken
  • Fügen Sie Ihre „mnemotechnische seed Phrase“ zu keinem Dienst hinzu.
  • Fügen Sie Ihren Active Key (aktiver Schlüssel) nur zu vertrauenswürdigen Geräten hinzu.
  • Fügen Sie benutzerdefinierte Keys für Ihren täglichen Gebrauch hinzu, z.B. Beanspruchen der Rewards, Abstimmungen, Spiele.
  • Wann immer Sie den Owner Key benutzen mussten, tauschen Sie ihn danach gegen einen neuen aus
  • Überprüfen Sie Ihre heruntergeladenen Dateien vor der Installation mehrfach, damit es sich um die richtigen handelt.
  • Geben Sie Ihren Private Key NIEMAND weiter, NIEMALS

Gängige Wege, Schlüssel (oder Tokens) zu verlieren, die ein wenig außerhalb Ihrer Kontrolle liegen

  1. Malware protokolliert, was Sie tun, und benutzt dies, um Sie zu hacken
  2. Malware verändert den Empfänger und nimmt Ihr Geld
  3. Ihr Gerät geht verloren oder geht kaputt
  4. Sie haben ein schwaches Passwort
  5. Der Dienst speichert Ihr Passwort schlecht
  6. Ihre Passwörter/E-Mail-Kombination wurde veröffentlich
  7. Trojaner können Ihre Zwischenablage (alles, was Sie kopieren und/oder einfügen) mitlesen
  8. Rootkits sind auf ihrem Gerät installiert
  9. Sie geben Ihre „mnemonic phrase“ bei einem Phishing-Versuch ein
  10. Unterzeichnen von böswilligen Transaktionen
  11. Automatisches Ausfüllen des Feldes an eine falsche Adresse
  12. Private Key geht verloren und wird nicht ordnungsgemäß gesichert
  13. Das Passwort wurde vergessen
  14. Nutzung von öffentlichen WLANs

Generierung von Private Keys

  • Generieren Sie Ihre Schlüssel auf einem sicheren Gerät
    • Ihr alltäglicher Computer ist wahrscheinlich nicht sicher
    • Ihr Telefon ist wahrscheinlich nicht sicher

Die Generierung Ihrer Schlüssel auf einem sicheren Gerät ist genauso wichtig, wenn nicht sogar wichtiger, als die Art und Weise, wie Sie sie speichern. Denn wenn sie bei der Generierung kompromittiert werden, spielt es keine Rolle, wie großartig Ihre Speicherlösung ist.

Wenn Sie eine Website oder einen bequemen Generator auf Ihrem Rechner benutzen, stellt dies ein Risiko dar, das Sie nicht eingehen sollten, wenn Sie Tokens besitzen, die einen großen Wert für Sie haben. Bitte setzen Sie sich damit auseinander, wie man Schlüssel richtig generiert, oder kaufen Sie sich eine sichere Hardware-Wallet.

Ihre Geräte, die Sie für soziale Medien, Spiele, Browsen usw. verwenden, sind sehr wahrscheinlich nicht sicher. Das bedeutet nicht, dass Sie Malware auf Ihrem Gerät haben, aber es bedeutet, dass das Risiko einer Attacke erhöht ist. Sogar der WLAN-Router, mit dem Sie sich verbinden, kann gehackt werden. Dies ist möglicherweise egal, wenn Sie das Gerät austauschen, einen VPN verwenden oder was immer Sie tun, um mit dem Internet zu interagieren. Und wenn Sie sich mit einem öffentlichen Internet verbinden: Bitte geben Sie Ihre Schlüssel oder Passwörter in keiner Weise preis >.<

Stellen Sie sich einfach diese Frage… Wenn Sie ein Hacker wären und eine Menge Leute erreichen wollten, würden Sie ein einzelnes Gerät oder eine öffentlich zugängliche WIFI-Verbindung ins Visier nehmen? Vertrauen Sie darauf, dass Ihr lokales Café über hochqualifiziertes IT-Personal verfügt?

Viele Geräte sind mit verschiedenster Malware infiziert, nicht alle werden versuchen, Ihr Passwort oder Ihre private Keys zu stehlen, aber wir können davon ausgehen, dass sie nicht gerade dabei helfen Ihr Gerät zu sichern.

Eine Möglichkeit, sichere Schlüssel zu generieren, besteht darin, diesem Leitfaden zu folgen.

In diesem Kurs lernen Sie, wie Sie einen bootfähigen USB-Stick erstellen, den Sie an jedes Gerät anschließen können und in einen Generator für sichere Schlüssel verwandeln können. Stellen Sie nur sicher, dass Sie auch Wifi, Ethernet-Kabel usw. entfernen. Der bootfähige USB wird automatisch mit einer Firewall versehen, die den gesamten eingehenden Datenverkehr blockiert, um das Risiko zu verringern.

Sie finden ihn hier

Dennoch gilt: Die Schlüssel sind nur so sicher, wie Sie sie behandeln.

Private Keys speichern

Verwenden Sie eine vertrauenswürdige Hardware-Lösung (z.B. yubihsm2, Ledger)

Für die meisten Menschen ist dies eine gute Lösung für die Aufbewahrung Ihrer Schlüssel. Da sie sehr schwer zu knacken ist. Es gibt immer noch Möglichkeiten, Ihre Tokens zu verlieren, vor allem durch das Signieren böswilliger Transaktionen, indem Sie eine Verbindung zu einer Skimming-Site oder einer Wallet herstellen. Obwohl es einige Fälle von gehackten Hardware-Wallets gibt, müssen sie in der Regel aber physischen Zugang zu dem Gerät haben.

Die Verwendung von Hardware-Wallets ist in der Regel recht einfach und reduziert eine Menge gängiger Attacken und Risiken. Sie müssen sich jedoch trotzdem an Ihr Passwort und Ihren Wiederherstellungssatz erinnern und diese aufbewahren. Diese beiden Schritten müssen richtig umgesetzt werden, sonst spielt es keine Rolle, ob sich Ihre Schlüssel auf einem Gerät oder auf einem Stück Papier befinden.

Eine Laminierte Papier Kopie des privaten Schlüssels ist normalerweise eine gute Idee

Dies ist tatsächlich eine der sichereren Speichermethoden der private Keys. Es erfordert, dass derjenige, der Ihre Tokens stehlen will, Ihre Niederschrift erst lokalisieren muss. Wie bei allen Optionen gibt es jedoch Risiken, die sich ziemlich gut minimieren lassen. Ein einfacher Zettel wird höchstwahrscheinlich ausreichen, aber das Aufbringen der Laminierung darauf wird die Qualität Ihrer Aufbewahrung erhöhen.

Wenn Sie sich entscheiden, Ihre Schlüssel auf Papier aufzubewahren, denken Sie daran, dass sie leicht von einer Kamera kopiert werden können, ohne dass Sie es merken. Sie können durch Feuer oder durch einen Ehepartner, der sie für Müll hält, beschädigt werden. Erstellen Sie also mehrere Kopien Ihres Schlüssels und bewahren Sie sie an verschiedenen sicheren Orten auf.

Und bitte vergewissern Sie sich, dass Sie den richtigen Schlüssel haben, indem Sie sich ein paar zusätzliche Minuten Zeit nehmen und ihn einmal zu einer vollständig offline arbeitenden Maschine hinzufügen, nur um sicherzustellen, dass Sie ihn korrekt kopiert haben: Die Perfekte Nutzung für unseren bootfähigen USB-Stick.

Den Owner Key nicht auf einem Telefon speichern

Es gibt TONNEN von Malware, die auf Telefone spezialisiert sind. Darüber hinaus gibt es eine Menge gefälschter Anwendungen, die in den Geschäften sowohl auf Android als auch auf iOS angeboten werden. Android hat mehr von beiden, aber iOS ist nicht ungefährdet. Das Telefon sollte nicht gerade als ein sicheres und geschütztes Gerät behandelt werden. Fügen Sie nur Konten mit begrenztem Wert und/oder Schlüssel mit Sondergenehmigung zu Ihren mobilen Geräten hinzu.

Dies verringert das Risiko, und Sie können diese Konten wie „hot wallets“ behandeln, in denen Sie nur das aufbewahren, was Sie zu benutzen beabsichtigen und verlieren können.Owner Key nicht auf einem Gerät mit mehreren Benutzern speichern

Den Owner Key nicht auf einem Gerät mit mehreren Benutzern speichern

Ok, nehmen wir an, Sie sind makellos und haben ein perfektes Management von Schlüsseln und Risiken. Es ist sehr unwahrscheinlich, dass die andere(n) Person(en), die Zugang zu Ihrem Gerät hat/haben, so akribisch ist/sind wie Sie. Normalerweise erhalten die gehackten Unternehmen, die um große Summen Bitcoin erpresst werden, den Virus von einem Mitarbeiter, der infizierte Mails öffnet, auf Links klickt, schlechte Software herunterlädt und diese installiert. Die Leute gehen nicht mit Risiken um, also erwarten sie, dass sie Mist bauen.

Den Owner Key nicht auf einem Rechner, der Internetzugang hat speichern

Wenn Ihr Gerät online ist, kann darauf zugegriffen werden. Heutzutage gibt es mehrere Sicherheitslücken in einer Maschine, und diese können für den Zugriff auf Ihr Gerät genutzt werden. Dies ist umso wahrscheinlicher, je häufiger Sie das Gerät zum Surfen im Internet, zum Herunterladen von Dateien und zum Installieren von Software verwenden. Verwenden Sie Ihre Active Key(s) nur mit benutzerdefinierten Berechtigungen, so dass Sie den Schaden im Falle einer Kompromittierung verringern können. Es ist ätzend, Wert zu verlieren, aber es ist noch ätzender, alles zu verlieren.

Und bitte, haben Sie einen unterschiedlichen Schlüssel für Owner und Active Key…

Den Owner Key nicht online (oder auf einem entfernten Rechner) speichern

Es gibt mehrere Cloud-Dienste, die zum Speichern privater Schlüssel verwendet werden… Eine Cloud-Lösung bedeutet buchstäblich, dass Sie den Rechner von jemanden ANDEREN verwenden. Wenn Sie Ihren Besitzerschlüssel zu einem Cloud-Service hinzufügen, selbst wenn dieser sicherer ist, müssen Sie darauf vertrauen, dass er keine böswilligen Absichten hat. Sicher, ich persönlich vertraue gerne darauf, dass die Absichten der Leute gut sind und dass sie helfen wollen. Aber ich würde ihnen nicht meinen Owner Keys anvertrauen…

Ich habe persönlich von Leuten gehört, die ihre Private Keys in Google Docs, Cloud-Diensten, Dropboxen oder anderen Speicherlösungen speichern… Ich würde dringend davon abraten. Kaufen Sie 2 USB-Sticks, verschieben Sie eine verschlüsselte Datei mit Ihrem privaten Schlüssel dorthin und speichern Sie sie an zwei verschiedenen Orten. Das wäre eine viel bessere Lösung.

Den Owner Key nicht zu einer Wallet hinzufügen, es sei denn, Sie beabsichtigen, ihn zu benutzen und zu auszutauschen

Nachdem Sie die vorherigen Abschnitte gelesen haben, wissen Sie, warum dies eine schlechte Idee ist… Ihr Owner Key ist Ihr Administratorschlüssel. Geben Sie ihn nur ein, wenn Sie beabsichtigen, ihn zu benutzen. Wenn Sie ihn in einer Wallet lassen, erschaffen Sie eine Angriffsfläche für Hacker.

Wenn Sie Ihren Owner Key zu einer Wallet hinzufügen und Ihren Owner Key verwenden, stellen Sie sicher, dass Sie ihn gegen einen neuen Schlüssel austauschen, bevor Sie Ihre Arbeit beenden. Sie sollten einen gebrauchten Besitzerschlüssel als einen kaputten betrachten, der ersetzt werden muss. Wenn Sie mehrere Besitzerschlüssel in Ihrem Konto aufbewahren, können Sie ihn einfach entfernen.

Behandeln Sie den Owner Key als Ihr größtes Geheimnis, von dem niemand wissen darf

Ihr Owner Key ist buchstäblich Ihr Weg, um zu beweisen, dass das Konto und die Tokens auf einer Blockchain Ihnen gehören. Wenn jemand, den Sie für einen Freund halten, in den Besitz des Schlüssels gelangt, gehört das Konto jetzt ihm. Es fällt immer noch unter Diebstahl, aber können Sie das beweisen? Es gibt mehrere Geschichten von Leuten, denen Private Keys gestohlen wurden, sogenannten Freunden.  

Mit der Blockchain interagieren

Keine willkürlichen Wallets verwenden, sie können bösartig sein

Menschen erstellen Wallets nur zu dem Zweck, an die private Schlüssel der Menschen zu gelangen und ihr Vermögen zu stehlen. Ja, das ist eine reale Gefahr… Browser-Brieftaschen, Desktop-Brieftaschen, mobile Brieftaschen, Hacker wollen Sie um Ihre Tokens erleichtern, und sie sind gut darin.

Hier sind einige Beispiele:
  1. Gefälschte Ledger-Chrome-Extension
  2. Böswillige Wallet stelht private Schlüssel
  3. Bitcoin Gold Wallet ergaunerte 3,3 Mio. $
  4. Crypto Wallet stehlt seed Keys
Keine Dateien von Telegrambenutzern öffnen (auch nicht aus vertrauenswürdigen Quellen)

Dies hat mehrere Gründe: 1. Wahrscheinlich kennen Sie die Person, mit der Sie über Telegram kommunizieren, nicht wirklich. Wenn Sie die Person kennen, gibt es mehrere Möglichkeiten, ein Telegram-Benutzernamen zu fälschen. Von dieser Masche wird häufig bei Betrügereien Gebrauch gemacht. Und auch das Konto kann durch Kopieren der Sim-Karte des Benutzers oder durch Malware gestohlen werden.

Menschen wurden durch diese Taktik um Tokens im Wert von mehreren hunderttausend USD gebracht. Normalerweise ist das Konto wirklich gut gefälscht: Es hat dasselbe Foto (und oft auch die alten Fotos), und auf einen kurzen Blick ist es derselbe Kontoname… durch Hinzufügen in das Bio-Feld und Ausblenden des Benutzernamen-Feldes.

Eine Möglichkeit, dies zu bemerken, besteht darin, einen Desktop zu benutzen, das Profilbild zu öffnen und auf das Datum und die Uhrzeit der hochgeladenen Fotos zu achten, die oft nur Sekunden oder Minuten auseinander liegen. Soweit ich weiß, können Sie den Zeitangaben in der mobilen Version sehen.

SMS oder E-Mail nicht als zwei Faktor Authentifizierung verwenden

SMS- und E-Mail-Nachrichten können zu mehreren Zeitpunkten abgefangen werden. Sogar Dan Larimer verlor Bitcoins bei einer Börse aufgrund von einer Wiederherstellungs Email. Und wir sollten verstehen, dass der Mann, der mehrere Blockchain-Lösungen geschaffen hat, etwas von Sicherheit versteht. Dieses Mal war es jedoch nicht seine Schuld, sondern die der Börse, die schwache Sicherheitspraktiken hatte. Die Hacker lösten im Grunde genommen das Versenden einer E-Mail aus, fingen diese ab und gaben dann den Wiederherstellungscode ein, um sich in das Konto einzuloggen. Sie brauchten sich nicht einmal in seine E-Mail einzuloggen… Die vollständigen Vortrag können Sie hier lesen.

Wenn Sie nur “Sim Karte klonen“ googleln, werden Sie viele verschiedene Möglichkeiten finden, eine zu klonen, und dies ist bei Kryptokonferenzen und Versammlungen geschehen. Leute haben behauptet, dass sie weit mehr als 1 Million Dollar durch diese Angriffe verloren haben, z.B.: https://stupen.com/business-2019-news/pping-hack-targeo-execs/

Manchmal brauchen sie nicht einmal ein Gerät zu hacken, sondern rufen einfach den Support an und geben vor, die Person zu sein.

Kurz gesagt, vertrauen Sie nicht darauf, dass Ihre Telefonnummer ein sicherer Weg ist, sich selbst zu verifizieren…

Private Keys nicht auf Papier ausdrucken, sie werden wahrscheinlich im Drucker gespeichert.

Fast alle Drucker auf dem Markt sind heute so genannte “intelligente” Drucker. Sie verwenden drahtlose Kommunikation, können E-Mail-Ausdrucke akzeptieren und von Telefonen aus arbeiten usw. Alle praktischen Lösungen haben Schwächen, und eine davon ist, dass Ihr Drucker kein sicheres Gerät ist. Er protokolliert alles, was Sie drucken, und das bedeutet: Was Sie ausdrucken, kann jemand auslesen. Drucken Sie also bitte nicht, sondern schreiben Sie vertrauliche Informationen immer per Hand auf. Oder verwenden Sie einen alten Drucker, der ein Kabel verwendet und nicht intelligent genug sind, um Ihre Schlüssel aufzubewahren.

Private Keys nicht per E-Mail verschicken

Ihre E-Mails durchlaufen buchstäblich mehrere Server und können auf jedem protokolliert und abgerufen werden. Wenn sie nicht Ende-zu-Ende-verschlüsselt sind, ist das wie wenn Sie Ihren Schlüssel auf ein Papier schreiben würden und dieses einfach an einer Bushaltestelle liegen lassen würden. Das machen Sie auch nicht.

Fügen Sie Ihre „mnemotechnische seed Phrase“ zu keinem Dienst hinzu

Behandeln Sie Ihre „Mnemonic Seed Phrase“ mit Respekt!

Geben Sie diese nirgendwo anders ein als an der Stelle, an der Sie sie erzeugt haben. Und tun Sie das immer nur, wenn Sie Ihre Daten wiederherstellen müssen. Menschen werden immer wieder betrogen, indem sie diese Sätze eingeben oder sie schlecht speichern…

Bitte machen Sie nicht den Fehler, sie in einem beliebigen Webdienst oder Fragebogen einzugeben… Das passiert immer wieder.

Fügen Sie Ihren Active Key (aktiver Schlüssel) nur zu vertrauenswürdigen Geräten hinzu.

Unsicher, was ein vertrauenswürdiges Gerät ist? – Beginnen Sie hier, um zu lernen, was man nicht tun sollte

Vergewissern Sie sich, dass das Gerät, in das Sie Ihren Active Key eingeben, ein Gerät ist, dem Sie vertrauen können… Sie können niemals sicher sein, wenn Sie das Gerät benutzen, aber immerhin können Sie das Risiko verringern, indem Sie klug oder zumindest nicht dumm sind.

Wenn Sie ein Gerät haben, das nur Sie benutzen, sollte dies Ihr “vertrauenswürdiges Gerät” sein, aber nur, wenn Sie sich nicht rücksichtslos verhalten… Laden Sie nicht alles herunter, was Sie sehen, gehen Sie nicht auf zufällige Sites, öffnen und klicken Sie nicht alle Links in E-Mails. Zusammengefasst: Klicken, öffnen, herunterladen oder besuchen Sie nichts, was Sie nicht wollten.

Wenn Ihr Schlüssel kompromittiert wird, sind Ihre Tokens hoffentlich „gestaked“, so dass sie 72 Stunden lang gesperrt sind und Sie genug Zeit haben, Ihr Gerät neu zu installieren, Ihren Owner Key zu finden, ihn einzugeben, Ihren Active Key auszutauschen, Ihre Tokens zu sichern und dabei natürlich Ihren Owner Key gegen einen neuen auszutauschen.

Die gestakten Tokens sind ein GROSSER Sicherheitsaspekt, der Ihnen 3 Tage Zeit gibt, zu reagieren und sich zu schützen.

Best Practices

Fügen Sie benutzerdefinierte Keys für Ihren täglichen Gebrauch hinzu, z.B. Beanspruchen der Rewards, Abstimmungen, Spiele.

Das ist ziemlich einfach zu machen, erfordert nicht viel Wissen und es gibt gut geschriebene Anleitungen, z.B. unsere, die Sie hier finden.

Durch die Verwendung benutzerdefinierter Schlüssel ist Ihr Risiko bei speziellen Anwendungsfällen minimal, immer nur die EXAKTEN Aktionen ausgeführt werden können, die Sie mit diesem Schlüssel zulassen. Wenn Sie z.B. einen Schlüssel erstellen, der nur Transaktionen zur Abstimmung signieren darf, kann er nie etwas anderes tun.

Um bestimmte Schlüssel zuzuweisen, müssen Sie auf das Konto mit dem „smart contract“ und der Aktion verweisen, die Sie zulassen wollen, z.B. “eosio::voteproducer”, damit können Sie die Aktion “voteproducer” auf eosio ausführen, welche Sie benutzen, um auf der Blockchain abzustimmen.

Wann immer Sie den Owner Key benutzen mussten, tauschen Sie ihn danach gegen einen neuen aus

Dies ist eine der leistungsstärkeren Funktionen, die das EOSIO-Kontosystem mit sich bringt. Da Ihre Tokens mit Ihrem Kontonamen und nicht mit dem Schlüsselpaar verbunden sind (wie bei Bitcoin, Ethereum usw.), können Sie Ihre Schlüssel beliebig häufig austauschen. Solange Sie Ihre Schlüssel verfügbar halten. Nicht, dass einige Projekte einen Snapshot ihres Account erstellen und des Kontostatus für ihre Projekte und Forks Wenn das der Fall ist, können es tatsächlich passieren, dass Konten mit einem alten Schlüsselpaar assoziiert werden. Dies ist bei Telos der Fall, als sie das Genesis-Konto von EOS verwendet haben.

Zurück zum Thema, Schlüssel tauschen, warum?

Weil sie kompromittiert werden können und der Besitzerschlüssel Ihr Administratorschlüssel ist. Dies ist DER SCHLÜSSEL, der Ihnen die volle Kontrolle über Ihr Konto gibt. Mit diesem Schlüssel können Sie mit Ihrem Konto alles tun, was Sie wollen, ich bin ziemlich sicher, dass Sie damit sogar Minions beschwören können.

Das Wechseln der Schlüssels ist großartig, da der neue Schlüssel natürlich auf einem sicheren Gerät erzeugt wird und niemals in eine angeschlossene Maschine eingegeben wird, da Sie wissen, dass dies die richtige Arbeitsweise ist 😉

Eigentlich sollten Sie mehrere Owner Keys hinzufügen, dann sind Sie in der Lage, einen zu entfernen, dies wird Ihnen das Leben erleichtern, zusätzlich können Sie die Schlüssel an verschiedenen Orten aufbewahren.

Ein Beispiel dafür, wie das aussehen kann, ist das folgende Testnet-Konto: https://wax-test.bloks.io/account/noobtestings#keys

Überprüfen Sie Ihre heruntergeladenen Dateien vor der Installation mehrfach, damit es sich um die richtigen handelt.

Erstens: Laden Sie nur Sachen aus sicheren Quellen herunter… Zweitens: Selbst, wenn Sie von einer Quelle Ihres Vertrauens herunterladen, können sie kompromittiert werden, und Sie sollten am besten die Prüfsumme überprüfen. Einige Produkte listen die Prüfsummen öffentlich auf, um sicherzustellen, dass die Datei, die Sie herunterladen, die Datei ist, die Sie eigentlich heruntergeladen haben sollten. Die Prüfsumme ist ein Hash-Wert, den Sie nach dem Herunterladen auf Ihrem Gerät überprüfen können.

Wenn ich die Windows Datei überprüfe bekomme ich folgende Prüfsumme:

[email protected] ~/s/M/satter> sha256sum win-scatter-12.0.0.exe   1c3e092d2ed1e42cc45818329c48bbd8535261917157bfe85daafd99ac774832  win-scatter-12.0.0.exe

Und da dies die gleiche Prüfsumme wie die öffentlich aufgeführte Summe ist, kann ich bestätigen, dass ich die gleiche Datei herunterladen habe. Ja… die Summe, die Sie auf der Seite sehen, kann verfälscht werden… Aber es ist schwer, alle Risiken vollständig zu reduzieren… Zumindest sind Sie besser dran, als die Datei gar nicht zu überprüfen.

Geben Sie Ihren Private Key NIEMAND weiter, NIEMALS

Das ist für die meisten offensichtlich… aber Betrüger kommen immer noch an die private Keys der Leute, indem sie mit ihrem Vertrauen spielen. Geben Sie Ihren privaten Schlüssel NIEMALS, NIEMALS, IN EINER SITUATION, an irgendjemanden weiter. Vielleicht ist es in Ordnung, wenn Ihnen jemand eine Waffe an den Kopf hält… aber das ist hoffentlich nicht Ihr Alltagsszenario.

Gängige Wege, Schlüssel (oder Tokens) zu verlieren, die ein wenig außerhalb Ihrer Kontrolle liegen

1. Malware protokolliert, was Sie tun, und benutzt dies, um Sie zu hacken

Es gibt Malware, die Ihre Passwörter, Aktivitäten, Suchergebnisse und vieles mehr mitliest. Diese können in vielen Formen und Ausprägungen auftreten, auch als Browser-Addons. Browser-Add-Ons ist eine Kategorie, die zu wachsen scheint und leicht zu übersehen ist. Etwas, worunter Boxmining wahrscheinlich kürzlich zu leiden hatte: https://twitter.com/boxmining/status/1237372876908462080

Seien Sie vorsichtig, wenn Sie Software installieren, Addons sind keine Ausnahme.

Noch mehr nerdiges, fall es Sie interessiert:

https://www.coindesk.com/browser-extensions-can-help-scammers-steal-your-bitcoin-casa-ceo

2. Malware verändert den Empfänger und nimmt Ihr Geld

Es gibt Berichte über Malware, die im Wesentlichen den Empfänger vertauscht, wenn Sie versuchen, Tokens zu senden. Sie kopieren den Empfänger, aber beim Einfügen wird er mit einem neuen Schlüssel vertauscht, der dem verwendeten sehr ähnlich sein könnte. Dies ist häufiger in Blockchain Konzeptionen anzutreffen, die sich bei Übertragungen auf öffentliche Schlüssel anstelle von Kontonamen stützen.

https://us.norton.com/internetsecurity-malware-what-is-a-trojan.html

3. Ihr Gerät geht verloren oder geht kaputt

Hardware-Fehler? Ehepartner verschüttet ein Glas Wasser darauf? Sie haben es fallen lassen? Was auch immer der Grund dafür ist, riskieren Sie Ihre Wertsachen nicht, indem Sie nur 1 Kopie haben, unabhängig von der Art und Weise, wie Sie Ihre privaten Schlüssel und Passwörter aufbewahren.

Also, bevor Ihr Gerät kaputt geht, erstellen Sie Sicherungskopien und fahren Sie dann mit diesem Artikel fort.

4. Sie haben ein schwaches Passwort
5. Der Dienst speichert Ihr Passwort schlecht

Das folgende Video wird einen tiefen Einblick geben, warum und wie einfach es ist, Passwörter zu knacken, die schlecht in einer Website oder einem Programm gespeichert sind.

Zu faul das Video zu schauen?

Die meisten (alle?) Dienste speichern einen Hash Ihres Passworts, und wenn Sie ein Passwort eingeben, prüft der Dienst, ob der Hash gleich ist, und wenn ja, können Sie sich einloggen. Das Problem ist, dass die Leute wirklich einfache Passwörter verwenden, so dass sie leicht zu erraten sind. Wörter aus dem Wörterbuch sind wirklich schlecht, selbst wenn sie mit einfachen Zahlenkombinationen kombiniert werden.

Wenn dein Passwort “password123“ ist und mithilfe von md5sum gespeichert wird, sieht der Hash folgendermaßen aus: 482c811da5d5b4bc6d497ffa98491e38
Wenn dein Passwort “password123“ ist und mithilfe von sha256sum gespeichert wird, sieht der Hash folgendermaßen aus: Ef92b778bafe771e89245b89ecbc08a44a4e166c06659911881f383d4473e94f

Wenn Sie Ihr Passwort aussuchen, fügen Sie keine Wörter aus Wörterbüchern, Datumsangaben, Haustiere, Namen, Orte oder Zahlen in einer gängigen Reihenfolge hinzu, und achten Sie darauf, dass es sich um ein längeres Passwort handelt. Verwenden Sie vorzugsweise einen Passwort-Manager mit zufällig generierten Passwörtern.

6. Ihre Passwörter/E-Mail-Kombination wurde veröffentlich

Es gibt tonnenweise gehackte Datenbanken mit Benutzeranmeldeinformationen, die im Internet verfügbar sind. Und falls nicht, gibt es auch Möglichkeiten, Ihre E-Mails abzufangen und zu erhalten, ohne dass Sie es merken, und sie zu benutzen, um das Passwort und die Anmeldung bei den vorgesehenen Diensten zu ändern.

Ein guter Grund, eine sichere 2FA an so vielen Stellen wie möglich hinzuzufügen. Nachfolgend sehen Sie einige Gründe, warum Sie sich verschiedene Passwort-Kombinationen verwenden sollten. Bitte verwenden Sie nicht für alle Börsen, die Sie benutzen, dieselbe E-Mail.

7. Trojaner können Ihre Zwischenablage (alles, was Sie kopieren und/oder einfügen) mitlesen

Dies ist beängstigend, da Sie vielleicht nicht merken, dass es sie gibt, und wenn doch, könnte es zu spät sein. https://www.bleepingcomputer.com/news/security/evrial-trojan-switches-bitcoin-addresses-copied-to-windows-clipboard/

Das oben verlinkte Programm stiehlt nicht nur Ihre Schlüssel oder tauscht Links aus, es nimmt auch Ihr Passwort und andere Informationen mit. Es findet auch Ihre Bitcoin-Wallet auf Ihrem Rechner und stiehlt diese zusammen mit Ihrem Passwort… Sie verkaufen diese Software für $27…

Das bedeutet, wenn Sie dieses Programm auf Ihrem Rechner installiert haben und Sie Wallet-Dateien, Passwörter, private Schlüssel usw. Speichern, haben die Hacker bereits alle Informationen solange das Programm installiert ist.

Beginnen Sie zu verstehen, warum Sie den Owner Key nicht auf diesem Gerät haben sollten?

8. Rootkits sind auf ihrem Gerät installiert

“Ein Rootkit ist eine Sammlung von typischerweise bösartiger Computersoftware, die den Zugriff auf einen Computer oder einen Bereich seiner Software ermöglichen soll, der anderweitig nicht erlaubt ist, und oft seine Existenz oder die Existenz anderer Software verschleiert.“

Diese Rootkits werden oft von Malware selbst installiert. Um sie zu verhindern, müssen Sie das Betriebssystem Ihres Computers häufig aktualisieren, und selbst wenn Sie dies tun, ist es nicht sicher, dass Sie von ihrer Existenz wissen. Und wenn auf Ihrem Gerät ein Rootkit installiert ist, können diese tun, was sie wollen.

9. Sie geben Ihre „mnemonic phrase“ bei einem Phishing-Versuch ein

Die „Mnemonic phrase“ sollte mit Respekt behandelt und sehr sicher aufbewahrt werden. Speichern Sie sie nicht einfach in einem Textdokument oder irgendwo online. Fügen Sie sie zu einer verschlüsselten Datei hinzu und speichern Sie diese sicher mit mehreren Backups.

In letzter Zeit hat es Phishing und verschiedene Betrugsangriffe auf verschiedene Orte wie Websites und über Telegram gegeben, bei denen versucht wurde, Sie dazu zu bringen, diese Phrasen zu veröffentlichen. Ein Argument, das sie benutzen, ist, dass sie Ihren öffentlichen Schlüssel auf die nächste Version aktualisieren müssen… bitte vertrauen Sie diesem Prozess nicht. Erst vor ein paar Tagen hörte ich von einem Mann, der 70.000 Dollar bei einem Versuch wie diesem verloren hat…

10. Unterzeichnen von böswilligen Transaktionen

Dies geschieht bei böswilligen DAPPs und Wallets, Sie denken vielleicht sogar, dass Sie das tun, was Sie tun sollen, aber plötzlich werden Ihre Schlüssel vertauscht und Sie haben keinen Zugriff mehr auf Ihr Konto. Dies ist schon bei mehreren Betrügereien mit EOS passiert und kann normalerweise verhindert werden, indem man richtig liest, was die tx auf Ihrem Gerät zu tun versucht. Wenn die Transaktion den Status “updateauth” hat und Sie das nicht tun wollten… dann versucht es wahrscheinlich, Ihre Schlüssel zu vertauschen.

Das Hinzufügen von benutzerdefinierten Berechtigungen für Ihre dapps verhindert dies, denn selbst wenn sie es versuchen, können sie es nicht tun.

11. Automatisches Ausfüllen des Feldes an eine falsche Adresse

Eine ziemlich traurige Situation, das automatische Ausfüllen von Adressen auf EOSIO-Sites als Blocks ist dazu da, dem Benutzer zu helfen. Aber da Betrüger Kontonamen gekauft haben, die den Namen der Börsenkonten sehr ähnlich sind, kann man leicht das falsche Konto eingeben lassen und Geld an den falschen Ort schicken.

Dies kann verhindert werden, indem man bei einer solchen Überweisung den Namen und das Memo aus der Börse kopiert. Es sei denn, Sie verfügen über Malware, die ändert, was Sie kopieren… Überprüfen Sie also immer genau, was Sie hinzufügen.

12. Private Key geht verloren und wird nicht ordnungsgemäß gesichert

ERSTELLEN SIE MEHRERE BACKUPS IHRER PRIVATEN SCHLÜSSEL!!!

Tun Sie es einfach… und speichern Sie sie auf ein paar USB-Sticks, laminierte Papiere oder Hardware-Wallets… Wie auch immer Sie sich fühlen, es ist das Beste für Sie. Solange Sie Kopien machen, seien Sie nicht faul…

13. Das Passwort wurde vergessen

🙁 ein Risiko der Verwendung von sichereren Passwörtern. Wenn Sie nicht bereits einen Passwortmanager verwenden, beginnen Sie jetzt. Es sind mehrere Optionen verfügbar. Ich empfehle einen Passwortmanager, bei dem Sie die Kontrolle über die Datei haben, solange Sie MEHRFACHE Sicherungen dieser Dateien erstellen.

14. Nutzung von öffentlichen WLANs

Der Eigentümer des Netzwerks oder ein Hacker kann protokollieren, was Sie von Ihrem Rechner aus senden, und das zu einem späteren Zeitpunkt gegen Sie verwenden. Wenn Sie also Lust haben, sich mit einem öffentlichen WLAN-Endpunkt zu verbinden, erwarten Sie, dass dieser weiß, was Sie tun, und alle Ihre Informationen protokolliert. Diese Annahme trägt zu einer sicheren Nutzung bei.

Categories
WAX

Announcing candidacy for the WAX Blockchain

This article was originally uploaded to medium.

https://medium.com/@Blacklusion/blacklusion-announcing-candacicy-for-the-wax-blockchain-780bd2bc6bba

What makes blacklusion an outstanding candidate for the WAX blockchain? All guilds bring excellent software development skills to the table. However, I believe that the current implementations of blockchain technology are mostly targeted to a niche market. Although we have come very far in the past years, they are not always very user-friendly, to begin with.

Relevant background qualifications

With years of experience in not only software development but also in content creation and digital marketing, my goal is to make blockchain more userfriendly and mainstream. When developing software products, only good functionality won’t cut it. My high expectations for the design and user experience result in easy to use products.

User-experience is especially important for an eCommerce blockchain such as WAX.

Employees

Leonard Scheidemantel, 20, CEO:

Background in content creation, digital marketing and software development. Currently studying Information Systems at the technical university of Munich.

Server Infrastructure

As of writing this article, I am operating two bare-metal servers. The servers are distributed across two data centers in Finland and Germany. One server is dedicated to hosting publicly available services such as APIs and websites. The other server is solely dedicated to the purpose of producing.

Scaling

All services other than the producer nodes are deployed in docker-containers. This ensures a high degree of freedom when scaling the software side of blacklusion’s infrastructure. The current servers should be sufficient hardware-wise to host the first producer-nodes and other services such as APIs and histories. However, since tasks will probably become more and more demanding in the future, I am planning to expand the current server setup with additional bare-metal servers in different data centers.

Thoughts on governance

Although blockchain technology enables us to execute transactions without the need for a central governing institution, this does not mean that the topic governance should be avoided. The user should always feel safe when performing transactions on the blockchain. Therefore, block producers should actively participate in voting on governance in order to guarantee every user the best possible experience.

Thoughts on transparency and accountability

Transparency is deeply anchored in the values of blacklusion. I am happy to contribute to the EOSIO / WAX community: If not otherwise required, I am planning to make the software projects for the EOSIO ecosystem open source.

One of the benefits of being a small company is the ability to easily find the responsible employee. Since my company only consists of myself, it is easy to hold the right person accountable for the company’s actions. If something should ever be not working correctly, there is a 1/1 chance to hit up the right person on Telegram (my account details at the bottom).

Thoughts on security & infrastructure

When operating nodes, security should be the highest priority, besides performance. A possible breach has an impact on the complete network.

Because of that, my producer nodes are running on an isolated server. Additionally, I have taken a couple of steps to further increase the security of my servers. Besides the fundamentals of using SSH-Keys instead of passwords, I have made two-factor-authentication mandatory for all servers. I also tweaked system settings, such as blocking all not mandatory ports and securing the shared memory.

Community benefit project outline

Blacklusions projects always revolve around the effort to make blockchain more user friendly and ultimately more mainstream. This includes developing advanced guides and info material to make the start for new users easier.

Currently, I am investigating how the launch of an IOS /Android App could benefit the user with useful functions (not just displaying stats and graphs).

General information

  • Websiteblacklusion.io
  • Social MediaTwitterTelegram
  • Official WAX Guild candidate name: blacklusionx
  • Telos-Testnet node: blacklusionx
  • Location of company headquarters: Stuttgart, Germany