​Запись 1.2.2 Время на борту: 20:15. Температура за бортом: 19 | Квазар - DeFi

​Запись 1.2.2
Время на борту: 20:15.
Температура за бортом: 190°С.

Кибер привет! Вещает Dark Diver.
Сегодня мне пришлось временно покинуть команду, улетев на исследовательском челноке для изучения замеченной нами аномалии у звезды в соседнем секторе. Пока сложно сказать, когда удастся вернуться обратно.
На данный момент только я обладаю необходимыми знаниями для анализа и структуризации сведений, которые получу по прилету.

А пока я нахожусь в пути, хочу с вами поделиться своими размышлениями насчет безопасности в сети блокчейна WAX.
Все мы знаем, что кошельки, созданные на ваксе, должны быть обязательно (но не совсем) созданы на сайте wax. К нашему кошелечку обязательно привязывается наш IP(вы замечали, что при смене прокси или использовании VPN просит подтверждение через email при логине), ну и конечно же почта.

Что имеем мы, как владелец, от нашего кошелька в целом?
Да нихера не имеем) Только публичный ключик. Собственно только его мы и можем увидеть и получить, залогинившись на сайте: его можно глянуть в глобальной переменной window.wax.pubKeys. Выглядят они примерно так:
[“EOS6uHoiYykBv625twvJR5knAizraK9kBkMhmvNfd3xLMPnDBrpcm”, “EOS6qxqwHQKfDSB4pWAFbuibb3t3j5ZLHpGtcQPKTVfMivDJswXp5”]

Зачем они нужны?
Через публичный ключик и связку с нашим email и паролем мы получаем доступ к приватному ключу, который хранится в лаборатории wax. Собственно через этот приватный ключ мы и подписываем наши транзакции.
Кто владеет приватным ключом - тот владеет кошельком. То есть по факту в данной схеме все держится на пользовательском соглашении с лабораторией wax и надежде на компетентных сотрудников, которые их не сольют. У них находится приватный ключ, и получить вы его не можете НИКАК. Нельзя совершить официальный запрос или как-то постараться его стырить – если вы, конечно, не шпион эдакий)

И спрашивается нахера это нужно?
Нужно это очевидным образом для, во-первых, полного контроля всех транзакций через лабораторию и, во-вторых, для уменьшения ботоводов. Рассмотрим схему подписания транзакции подробнее:
1. Вы нажимаете кномпу buy, например
2. Происходит валидация транзакции на клиенте, преобразуется в хэшированные данные
3. Улетает запрос в лабораторию
4. Открывается окошечко, где вы подтверждаете транзакцию и опять улетает запрос в лаб
5. Далее ищется внутри лаборатории ваш приватный ключик по публичному и вашему аккаунту и уже подписывается сама транзакция в блокчейне.
А теперь представьте, что у вас на руках уже есть приватный ключ и что вам нужно просто заслать запрос в блокчейн с подписанной вашим ключом транзакцией? Понимате, о чем я?) Да-да, всю эту цепочку можно свести к одному действию. (привет дропам)
И да, такой способ работы в WAX блокчейне есть)
Расскажу о нем в следующей трансляции.

Всем кибер пока!
#DarkDiver. Конец связи.