Классификация токенов: цель, применение, правовой статус, базовая ценность и техническая часть

19 августа 2019 Web

Что такое JWT, с чем его едят, и как он обеспечивает безопасность вашего приложения? Пошаговое руководство для понимания JSON веб-токенов с нуля.

image

JWT играет важную роль в веб-безопасности и системах аутентификации пользователей, хотя на первый взгляд ничего особенного из себя не представляет – обычная строка. Впрочем, не совсем обычная, как мы сейчас увидим.

У JSON веб-токенов есть четко определенная структура, определенная стандартом RFC 7519:

header.payload.signature
  • Заголовок (header) и полезная нагрузка (payload) – это всего лишь объекты в формате JSON, содержащие определенные данные (в том числе технические).
  • Подпись (signature) чуть сложнее. Она создается на основе заголовка и полезной нагрузки, кодируется особым образом и в целом реализует основную функцию токена – идентификацию пользователя.

Возьмем для примера классическую схему работы приложения:

image

Что у нас тут есть?

  • некоторое приложение,
  • пользователь, который желает с приложением взаимодействовать,
  • сервер аутентификации, который должен подтвердить, что пользователь – именно тот, за кого он себя выдает.

Схема работы очень простая (в теории, по крайней мере):

  1. Сначала пользователь проходит привычную аутентификацию. Это может быть пара логин-пароль или вход через какую-нибудь соцсеть (Facebook, VK).
  2. Если все прошло удачно, сервер аутентификации создает JWT и отправляет его пользователю обратно. Как именно происходит генерация JSON веб-токенов, мы разберем через минуту.
  3. Теперь пользователь пытается взаимодействовать с приложением через API. Делая запрос, он передает также полученный токен.
  4. Сервер приложения проверяет, действительно ли этот токен был выдан сервером аутентификации – о реализации этой проверки мы тоже поговорим.
  5. Если JWT подлинный, сервер просто выполняет полученный запрос и пользователь получает нужный ему результат.

Создание JSON веб-токенов в 5 шагов

Шаг 1. Заголовок

В заголовке JWT содержатся технические данные – название алгоритма, используемого для генерации подписи токена. Выглядит он вот так:

{    "typ": "JWT",    "alg": "HS256"  }

Это самый обычный JSON-объект.

Поле typ содержит тип токена (для JSON веб-токенов соответственно оно всегда равно JWT).

Значение поля alg соответствует алгоритму хеширования HMAC-SHA256, который использует секретный ключ для вычисления подписи (подробнее в шаге 3). Здесь может быть указан другой алгоритм или даже none, если токен не подписан.

Шаг 2. Полезная нагрузка

Во втором компоненте JSON веб-токенов (payload) хранится информация о пользователе, которую сервер аутентификации передает серверу приложения. Стандарт предусматривает несколько необязательных для заполнения служебных полей, например:

  • exp – срок окончания действия токена;
  • nbf – время начала действия токена;
  • sub – уникальный идентификатор пользователя.

Если интересно, почитайте более подробное описание компонента полезной нагрузки в Википедии.

Помимо стандартных ключей, можно передавать любые данные:

{    "userId": "b08f86af-35da-48f2-8fab-cef3904660bd"  }

Это вновь простой JSON-объект, ничего нового.

Помните, что размер данных полезной нагрузки влияет на общий размер JSON веб-токенов. Если их будет слишком много, передача токена может ухудшить производительность вашего приложения.

Шаг 3. Подпись

Подпись токена вычисляется на основе его заголовка и полезной нагрузки по следующей схеме (псевдокод):

data = base64urlEncode(header) + "." + base64urlEncode(payload)  hashedData = hash(data, secret)  signature = base64urlEncode(hashedData)

Разберем по шагам:

  • Заголовок и полезная нагрузка по отдельность кодируются с помощью алгоритма Base64URL, а затем соединяются через точку. Вы можете поиграть с этим алгоритмом в онлайн-конвертере. На выходе получается обычная строка
// header  eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9    // payload  eyJ1c2VySWQiOiJiMDhmODZhZi0zNWRhLTQ4ZjItOGZhYi1jZWYzOTA0NjYwYmQifQ
  • Эта строка затем хешируется с использованием секретного ключа (secret). Конкретный алгоритм хеширования определяется в заголовке JSON веб-токенов, как мы уже видели.
  • Хешированные данные снова пропускаются через Base64URL – это и есть подпись JWT.
// signature  -xN_h82PHVTCMA9vdoHrcZxH-x5mb11y1537t3rGzcM

Шаг 4. Cборка JWT

У нас уже есть все необходимые блоки для создания токена:

  • заголовок с указанием алгоритма хеширования;
  • полезная нагрузка с пользовательскими данными;
  • сгенерированная подпись.

Теперь можно собрать из них полноценный веб-токен по уже знакомой схеме:

header.payload.signature

Заголовок и полезная нагрузка предварительно кодируются в Base64URL, а подпись уже в правильном формате:

// JWT  eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1nij9.eyJ1c2VySWQiOiJiMDhmODZhZi0zNWRhltq4zjitogzhyi1jzwyzota0njywymqifq.-xN_h82PHVTCMA9vdoHrcZxH-x5mb11y1537t3rGzcM

Этот токен пользователь получит от сервера аутентификации и будет использовать при запросах к серверу приложения.

Узнайте больше о JSON веб-токенах и создайте собственный JWT на jwt.io.

Шаг 5. Верификация JWT

В демо-примере мы использовали хеширование с секретным ключом по алгоритму HS256. Изначально этот ключ известен только серверу аутентификации. Сервер приложения получает его при настройке процесса проверки подлинности.

Когда пользователь отправляет запрос с прикрепленным к нему JWT, приложение может самостоятельно произвести хеширование данных и сравнить результат с полученной подписью. Если строки совпадают, значит вызов поступил из подтвержденного источника и может быть выполнен безопасно.

Пара слов о безопасности данных

Теперь, когда вы разобрались в устройстве и работе JSON веб-токенов, возникает естественный вопрос – защищены ли передаваемые данные?

Мы видели, что токен кодируется и подписывается, но – внимание! – не шифруется! (в чем разница между кодированием и шифрованием?) То есть эта обработка не обеспечивает безопасность данных. Нет никакой гарантии сохранности, поэтому не следует передавать в токенах что-то конфиденциальное. У JWT другое предназначение: проверка подлинности источника данных. Это дополнительный уровень безопасности самого приложения.

P.S.

Мы разобрали основы JSON веб-токенов, но в этой теме еще много нюансов.

Например, вместо симметричного алгоритма хеширования с одним секретным ключом, можно использовать асимметричный, например, RS256. При этом у сервера аутентификации будет закрытый ключ, а у сервера приложения – открытый. Узнать больше о разнице между симметричными и ассиметричными алгоритмами.

Важный момент: JWT должен отправляться только по защищенному HTTPS-соединению, чтобы предотвратить его перехват.

Хорошей практикой является установка небольшого срока действия JSON веб-токенов. При этом скомпрометированный JWT очень быстро станет недействительным.

Мы что-то упустили? Поделитесь в комментариях 😉

Токен — это устройство в виде USB-флешки с защищенной паролем картой памяти, на которой хранится информация для создания подписи. Токен обеспечивает двухфазную аутентификацию пользователя: для работы необходимо вставить токен в USB-разъем компьютера и ввести пароль.

В России два вида токенов:

  • Рутокен – ключевой носитель, разработанный и широко применяемый в России. Продукты на базе Рутокена широко используются в коммерческих и государственных проектах. Кроме того, безопасность рутокенов постоянно повышается — в частности, в новых версиях операции шифрования документа выполняются не только на компьютере, но и в самом устройстве. Это делает электронную подпись более защищенной от вирусов и хакерских атак.
  • Е-токен – европейский вариант ключевого носителя. Е-токены могут содержать практически любой дополнительный чип RFID (радио-метку) для интеграции с системами контроля и управления доступом в помещения.

Только СКБ Контур выпускает электронные подписи со встроенной лицензией. Это позволяет подписывать файлы с любого рабочего места — лицензия СКЗИ уже есть на токене. Команды СКБ Контур и Рутокена взаимодействовали на этапе разработки, благодаря чему пользователи наших услуг получают качественный и удобный носитель, который легко устанавливать и использовать.

УЦ СКБ Контур выпускает все виды электронных подписей.

Мы все окружены паролями, одноразовыми кодами, ключами и токенами, но не всегда знаем об их существовании. Они каждую минуту обеспечивают безопасность наших аккаунтов и данных. Однако нам с тобой важно знать, как именно устроены самые базовые механизмы защиты информации. Один из них — это токены аутентификации, которые повышают надежность защиты данных и при этом не мешают комфортно пользоваться сервисами.

Справочник анонима

Статьи из этого цикла публикуются бесплатно и доступны всем. Мы убеждены, что каждый имеет право на базовые знания о защите своих данных.

Другие статьи цикла:

  • «Теория и практика шифрования почты»;
  • «Виды шифрования и защиты трафика, выбор софта»;
  • «Как шифровать переписку в Jabber: пошаговая инструкция»;
  • «Делаем шпионскую флешку с защищенной операционкой Tails».

Если для тебя эти материалы тривиальны — отлично! Но ты сделаешь доброе дело, отправив ссылку на них своим друзьям, знакомым и родственникам, менее подкованным в технических вопросах.

Подписываемся под данными

И людям, и программам нужно знать, что данные были созданы доверенным источником и остались неизменными. Для этого была придумана технология генерации специального хеша (подписи), который подтверждает целостность информации и достоверность ее отправителя/создателя. Для создания этой самой подписи используется схема из нескольких шагов, цель которых — защитить данные от подделки.

Другие статьи в выпуске:

Xakep #247. Мобильная антислежка

  • Содержание выпуска
  • Подписка на «Хакер»-35%

Алгоритм хеширования может меняться, но суть этого подхода проста и неизменна: для подтверждения целостности сообщения необходимо снова найти подпись защищаемых данных и сравнить ее с имеющейся подписью.

Придумываем коды доступа

Люди, которые придумали двухфакторную аутентификацию, по всей видимости, руководствовались принципом «одна голова хорошо, а две — лучше». И действительно — два пароля точно безопаснее одного. Но пароли, которые отправляет сайт в SMS, нельзя назвать абсолютно защищенными: сообщение чаще всего можно перехватить. Другое дело — специальные приложения для аутентификации, они нацелены на полную защиту всего процесса входа пользователя в аккаунт. Именно их мы сейчас с тобой и разберем.

Создание безопасных одноразовых паролей состоит из двух этапов:

  1. Первичная настройка — включение двухфакторной аутентификации.
  2. Использование пароля — непосредственный ввод кода и отправка для проверки.

В таком случае пользователь с помощью приложения, доступного на любом устройстве, сможет генерировать коды в соответствии со всеми стандартами.

Первоначальная настройка приложения заключается в обмене секретным ключом между сервером и приложением для аутентификации. Затем этот секретный ключ используется на устройстве клиента, чтобы подписать данные, которые известны и серверу, и клиенту. Этот ключ и служит главным подтверждением личности пользователя при вводе пароля на сервере.

На самом деле весь секрет — последовательность из случайных символов, которые закодированы в формате Base32. Суммарно они занимают не меньше 128 бит, а чаще и все 190 бит. Эту последовательность и видит пользователь как текст или QR-код.

Как приложение создает одноразовые коды? Все просто: приложение с помощью ключа хеширует какое-то значение, чаще всего число, берет определенную часть получившегося хеша и показывает пользователю в виде числа из шести или восьми цифр.

С самого начала для этого числа разработчики использовали простой счетчик входов. Сервер считал количество раз, которое ты заходил, например, на сайт, а приложению было известно, сколько раз ты запрашивал одноразовый пароль. Именно это значение и использовалось для создания каждого следующего одноразового кода. В современных приложениях вместо счетчика берется текущее время — и это намного удобнее для пользователя: счетчики входов часто сбивались, и их приходилось настраивать заново.

Теперь давай попробуем посчитать код для авторизации самостоятельно. Для примера представим, что мы решили прямо в Новый год опубликовать фотографию красивого фейерверка и, чтобы это сделать, нужно войти в свой аккаунт, а значит, нам не обойтись без одноразового пароля.

Возьмем время празднования Нового года в формате UNIX (1577811600000) и посчитаем порядковый номер нашего пароля: поделим на 30 секунд — 52593720. Воспользуемся нашим секретом и вычислим хеш — по стандарту RFC 6238 это функция SHA-1:

$ echo -n '52593720' | openssl sha1 -hmac 'QWERTYUI12345678' e818e7f3efcb625658c603b08b12522f1e4d160a 

Не забудь про аргумент -n для команды echo, чтобы в ее выводе не было ненужного перевода строки, иначе хеш будет другим.

Теперь дело за малым: нужно получить шесть цифр, которые мы и будем отправлять на сервер при авторизации. Возьмем последние четыре бита хеша — сдвиг, — это будет число a, или 10. Именно по этому сдвигу расположен наш код, который пока в виде байтов, — 03b08b12 = 61901586. Отбросим все цифры этого числа, кроме шести последних, и получим наш новенький, готовый к использованию одноразовый код — 901586.

Входим в приложение

Ни одно современное приложение не спрашивает пароль у пользователя постоянно, поскольку пользователей это раздражает. Именно поэтому разработчики и ученые-криптографы придумали токены, которые могут заменить собой пару логин — пароль. Перед учеными стояла задача не столько скрыть какую-то информацию, сколько создать общий стандарт для ее хранения и подтверждения ее надежности. Для всего этого была придумана технология JSON Web Token (JWT).

Как работает JWT?

Если есть данные, достоверность которых следует подтвердить, нам надо подписать их секретным ключом, используя HMAC. Для этого применяется такой же способ хеширования, что и для одноразовых паролей, только вместо шести цифр берется весь хеш целиком. Единственная разница — это сам алгоритм хеширования: в таких токенах SHA-1 считают слишком коротким и небезопасным, поэтому обычно используют SHA-256.

Главная задача JWT — подтверждение личности создателя токена и сопутствующих данных. Обычно содержимое токена — логин или другой идентификатор пользователя.

Давай попробуем создать свой токен. Продолжим нашу маленькую историю с публикацией фотографии фейерверка в соцсети: мы ввели одноразовый пароль, сервер подтвердил нашу личность и хочет выдать токен, чтобы мы смогли с его помощью открыть наше приложение.

Любой токен состоит из трех частей: заголовка со служебной информацией, данных и подписи. Так как стандартом безопасности считается SHA-256, то мы запишем его в наш заголовок.

{   "alg": "HS256" } 

Внутри самого токена будет храниться информация об идентификаторе аккаунта, в который мы только что вошли.

{   "user_id": 123456 } 

Закодируем наши данные и заголовок в Base64 и соединим их через точку. Это делается, чтобы безопасно пересылать данные через HTTP: eyJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjogMTIzNDU2fQ. Теперь, зная и данные, и заголовок, мы можем посчитать ее хеш, который содержит наш пароль — строку QWERTYUI12345678.

$ echo -n 'eyJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjogMTIzNDU2fQ' | openssl sha256 -hmac 'QWERTYUI12345678' e0a6b48a961ee3fc7eb38afcdb1a8ef22efb0572e1d5333b85db2aa66919e98e 

Этот хеш нам тоже надо перевести в кодировку Base64 и затем присоединить к уже имеющейся строке из заголовка и данных: eyJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjogMTIzNDU2fQ.4Ka0ipYe4/x-s4r82xqO8i77BXLh1TM7hdsqpmkZ6Y4 — это и есть наш токен. Можно пользоваться!

WWW

Подробнее про стандарт JWT можно почитать на сайте организации RFC, а про реализацию для своего любимого языка — на сайте jwt.io.

Заключение

Теперь ты знаешь, что происходит каждый день, когда ты открываешь браузер и заходишь в какой-нибудь веб-сервис. Понимая, как это работает, ты сможешь лучше защитить свои данные, а возможно, даже решишь применить какой-то из этих методов в своих разработках.

← Ранее Опубликован эксплоит для свежей 0-day уязвимости в Android Далее → Майнинговый червь Graboid распространяется через контейнеры Docker

Токен безопасности, или секьюрити токен (англ. Security token) – это физическое или цифровое устройство, которое обеспечивает двухфакторную аутентификацию (2FA) для пользователя, чтобы подтвердить его личность в процессе входа в систему. Обычно он используется как форма идентификации для физического доступа или как метод доступа к компьютерной системе. Токен может быть предметом или картой, которая отображает или содержит информацию о безопасности пользователя и может быть проверена системой.

Токены безопасности могут использоваться вместо традиционных паролей или в дополнение к ним. Чаще всего они используются для доступа к компьютерным сетям, но также могут обеспечивать физический доступ к зданиям и выступать в качестве электронных подписей для документов.

Как работают токены безопасности?

Токен безопасности обеспечивает аутентификацию для доступа к системе через любое устройство, генерирующее пароль. Это может быть смарт-карта, USB-ключ, мобильное устройство или RFID-карта. Устройство генерирует новый пароль при каждом использовании, поэтому токен безопасности можно использовать для входа в компьютер или виртуальную частную сеть, введя пароль, сгенерированный токеном, в приглашение.

Технология токенов безопасности основана на использовании устройства, которое генерирует случайное число, шифрует его и отправляет на сервер с информацией для аутентификации пользователя. Затем сервер отправляет обратно зашифрованный ответ, который может быть расшифрован только устройством. Устройство повторно используется для каждой аутентификации, поэтому серверу не нужно хранить информацию об имени пользователя или пароле, делая систему менее уязвимой для взлома.

Типы токенов безопасности

Для защиты различных активов и приложений используются несколько типов токенов безопасности. К ним относятся следующие:

  • Одноразовые пароли (OTP). Одной из форм токена цифровой безопасности являются одноразовые пароли. Они действительны только для одного сеанса входа в систему, то есть они используются один раз и никогда больше. После первоначального использования сервер аутентификации уведомляется о том, что OTP не следует использовать повторно. OTP обычно генерируются с использованием криптографического алгоритма из общего секретного ключа, состоящего из двух уникальных и случайных элементов данных. Один элемент – это случайный идентификатор сеанса, а другой – секретный ключ.
  • Отключенные токены. Это форма цифрового токена безопасности, который физически или логически не подключается к компьютеру. Устройство может генерировать OTP или другие учетные данные. Приложение для ПК, которое отправляет текстовое сообщение на смартфон, которое пользователь должен ввести при входе в систему, использует отключенный токен.
  • Подключенные токены. Подключенный токен – это физический объект, который напрямую подключается к компьютеру или сенсору. Устройство считывает подключенный токен и предоставляет или запрещает доступ. YubiKey – это пример подключенного токена.
  • Бесконтактные токены. Бесконтактные токены образуют логическое соединение с компьютером, не требуя физического соединения. Эти токены подключаются к системе по беспроводной сети и разрешают или запрещают доступ через это соединение. Например, Bluetooth часто используется как метод установления соединения с бесконтактным токеном.
  • Программные токены системы единого входа (SSO). Программные токены системы единого входа хранят цифровую информацию, такую ​​как имя пользователя или пароль. Они позволяют людям, которые используют несколько компьютерных систем и несколько сетевых служб, входить в каждую систему без необходимости запоминать несколько имен пользователей и паролей.
  • Программируемые токены. Программируемый токен безопасности многократно генерирует уникальный код, действительный в течение определенного периода времени, часто 30 секунд, для предоставления доступа пользователю. Например, AWS Security Token Service – это приложение, которое генерирует коды 2FA, необходимые администраторам информационных технологий для доступа к некоторым облачным ресурсам Amazon Web Services.

Преимущества токена безопасности

Хотя это правда, что пароли и идентификаторы пользователей по-прежнему являются наиболее широко используемой формой аутентификации, токены безопасности являются более безопасным вариантом для защиты сетей и цифровых систем. Проблема с паролями и идентификаторами пользователей в том, что они не всегда безопасны. Злоумышленники продолжают совершенствовать методы и инструменты для взлома паролей, делая пароли уязвимыми. Данные паролей также могут быть доступны или украдены в результате утечки данных. Кроме того, пароли часто легко угадать, обычно потому, что они основаны на легко обнаруживаемой личной информации.

С другой стороны, токены безопасности используют уникальный для пользователя физический или цифровой идентификатор. Большинство форм относительно просты в использовании и удобны.

Уязвимости токенов безопасности

Хотя токены безопасности предлагают пользователям и организациям множество преимуществ, они также могут иметь недостатки. Основным недостатком физических токенов безопасности является то, что они подвержены утере или краже. Например, токен безопасности может быть утерян во время путешествия или украден неавторизованной стороной. Если токен безопасности утерян или украден, его необходимо деактивировать и заменить. Тем временем неавторизованный пользователь, владеющий токеном, может получить доступ к конфиденциальной информации и системам.

Интернет-предприниматель, специалист по SEO и SMM, E-commerce, вебмастер, блогер.

13.05.2021

image

Подписаться

Трейдинг, майнинг, аэирдроп, а теперь еще и токенсейл – это основные способы получения токенов в свой актив. Последний подразумевает покупку, так что для тех, кто рассчитывает бесплатно получить средства, он не подходит. В отличие от майнинга – не нужно ждать, пока будет добыт нужный блок, ведь все уже есть в наличии. А вот торговать купленными монетами сразу после их приобретения – не получится.

Тема интересная и стоит в ней разобраться более детальней: что дает процесс инвестору, бирже, организаторам криптосообщества и сколько на этом можно заработать – поговорю со своими читателями далее. И обязательно расскажу, в чем разница между ключевыми этапами предпродажи.

Оглавление:

1. Токен сейл или первичная продажа криптовалюты

2. Где участвовать в закрытых продажах

Токен сейл или первичная продажа криптовалюты

Реальный токен сейл представляет собой возможность приобретения монет одним из первых, и 2021 год не стал исключением в предоставлении такого способа увеличения криптоактивов. На начале апреля, согласно информации от портала coinmarketcap.com, в мире насчитывается свыше 9 тысяч криптоактивов, и их число растет регулярно. Получить новые монеты с разным курсом можно благодаря таким способам (этапам):

  • Launchpad – отдельная площадка при бирже, которая специализируется исключительно на предпродаже, разумеется, за свою комиссию;
  • IDO – размещение токенов через децентрализированную биржу;
  • IEO – первичное предложение на бирже;
  • ICO – первичное размещение монет самостоятельно или через посредника.

Токен сейлы (также встречается и слитное написание) проходят довольно часто и один проект может довольно быстро привлечь значительную сумму на свое развитие. Для того, чтобы купить и в дальнейшем хранить средства, вам понадобятся горячие или более надежные холодные кошельки для криптовалют, но только те, что поддерживают конкретный протокол

Финансовые показатели крупных токенсейлов

Год Монета Особенности
2014 Ethereum Собрала 31529 BTC – 18 млн. долларов
Осень 2017 Filecoin Привлекла 257 млн. долларов
2017, 2019 и 2020 Polkadot Получила 248 млн. долларов

Где участвовать в закрытых продажах

Для того, чтобы в числе первых купить выпущенные токены с предварительной эмиссией, нужно постоянно мониторить информационные ресурсы, чтобы получать информацию о том, где это реально сделать и на каких условиях. Самый простой способ – погуглить, или же прочесть на специализированных форумах. Еще один вариант – узнавать новости непосредственно на биржах, которые практикуют механизм и ни один раз доказывали свою продуктивную работу. Для торговой площадки это также хороший аспект в развитии, поскольку биржа получает такие преимущества:

  • администрация получает часть токенов в эмиссии;
  • заходит оплата за листинг;
  • создает новые эксклюзивные пары, чтобы привлекать новых трейдеров.

Отдельно остановлюсь на токенсейлах, которые проводятся на бирже Latoken. Эта площадка предлагает принять участие в препродаже, но в сети много отзывов, что к предварительной проверке относятся не сильно хорошо – скамы все чаще имеют место. Участие доступно для тех, кто прошел процедуру KYC, и многие комментарии указывают на то, что это сделать весьма сложно.

image

Binance

Непосредственно на сайте (в рубрике «Поддержка) появляется регулярно информация об открытии новых закрытых подписок. Каждое объявление имеет такую ценную информацию:

  • уточнение времени проведения;
  • данные, как будет распределяться эмиссия – минимальный и максимальный объем для покупки;
  • общая эмиссия;
  • формат – подписка, непосредственно покупка в указанное время;
  • за какие валюты можно приобрести;
  • резиденты каких стран могут принимать участие;
  • время начисления на счет;
  • период «заморозки».

image

Традиционно для этой площадки токенсейлы происходят благодаря внутреннему токену BNB что выступают парой для покупки. За текущий год было проведено более 20 первичных предпродаж.

Здесь вы можете также приобрести криптовалюту Chia, принцип работы которой описан на www.gq-blog.com а привлечение средств через предпродажу организаторы проекта не применяли.

Coinlist

Эта площадка считается одной из самых надежных в этом направлении, а кроме этого, привлекает внимание пользователей тем, что все большее количество актуальных предложений появляется именно на ней. Часто это происходит в формате ICO. Актуальные предложения доступны для зарегистрированных пользователей, которые предварительно подтвердили свою личность.

Руководство платформы заявляет, что к списку монет для токен сейла подходит избирательно и качественно. В представленной информации по каждому проекту есть такие данные:

  • для инвесторов из каких стран услуга недоступна;
  • начальный и верхний граничный лимит покупки;
  • цена;
  • в каких валютах можно приобрести (обратите внимание, что многие криптовалюты переводятся на ETH-кошелек с довольно немалой комиссией).

image

Есть информация, что токен сейл для компании, что так выводит свои активы, здесь стоит 20 тыс. долларов, плюс сама площадка получает комиссию за каждого инвестора.

Выгодно ли участвовать в токен сейлах

Изучив особенности токенсейлов, которые часто отождествляют с краудсейлом, и получив информацию, где проходят, стоит узнать, насколько этот процесс выгодный или же риски намного выше прибыли. Предпродажа выгодна в 2-х направлениях:

  1. Для ее организаторов – возможность получить быстро довольно большую сумму средств, чтобы развивать проект.
  2. Для инвестора – приобретения монет по низкой цене, которая может существенно вырасти уже после первого листинга на биржу.

В дальнейшем полученные средства могут принести прибыль за счет продажи по более высокому курсу, и это один из вариантов, для чего нужна криптовалюта инвестору.

Токены которые могут побить рекорды

Перед каждым токенсейлом в сети специально проводится информационная кампания, которая направлена на привлечение внимания к цифровому активу. В конце апреля прошел сейл Clover, рассчитанные на 3 периода: купить 1 монету можно было по 0,2, 0,29 и 0,35 долларов. Некоторые эксперты прогнозируют, что сразу после полноценного листинга, который может произойти к концу августа, токен сразу вырастет до 1 доллара. Но большее внимание общественности сегодня обращено к 2-м проектам, с которыми познакомлю вас далее. Помимо доступной цены, стоит больше узнать об их технической части, которая, к слову сказать, и выступает двигателем в росте их популярности и по сути, цены.

Mina

13 апреля стартовала предпродажа, и еще за пару дней до этого было много информации, что токен сейл мина с учетом протокола и грядущих перспектив может побить существующие рекорды. Особенность протокола в том, что это алгоритм zk-SNARK – краткое криптографическое доказательство с высокой пропускной способностью и децентрализацией масштабных сетей блоков.

Только представьте – вес блокчейна всего 22 кб. Процесс происходил на Coinlist – бирже, которая со слов организаторов проекта, является официальным партнером. Интересно, что участие могли принимать все, кроме граждан США. Для членов сообщества предпродажа проходила 13-14 апреля, для широкого контингента – 16-18 апреля.

image

Casper

Еще один нашумевший проект первого полугодия 2021 года, который, как и другие токенсейлы на Коинлист проводился и привлек к себе внимание аналитиков и общественности. Предпродажа состояла из 3-х этапов, первый из которых начался 23 марта. На него было выделено 800 млн. токенов по цене 0,015$, но при покупке они сразу замораживались на 12 месяцев. Каждый участник мог купить активов на сумму от 100 до 1000 долларов, и за первый период было продано 15% эмиссии монет. Второй этап начался 25 марта, и цена одного токена в этот период составила 0,02 доллара, а период блокировки снижен до 6 месяцев. Максимальная эмиссия – 400 млн. Третий этап прошел в апреле, а период блокировки активов, что были приобретены в его период, составил 40 дней. Доступных для продажи также было 400 млн.

Показательный факт: для того, чтобы токен сейл Сasper прошел на Сoinlist без проблем и технических сбоев, как это было в случае с Near в 2020 году, были разработаны виртуальные залы ожидания. 11 мая цена актива превысила отметку в 40 долларов. Пока что популярный за счет своей надежности кошелек Trust Wallet не поддерживает такие новые активы, но со временем, думаю, чтобы конкурировать с остальными разработчиками бумажников, его администрация расширит список рабочих активов.

image

Резюмирую: токенсейл – это возможность получения монет на ранней стадии, еще до того, как они только планируют выйти на биржу. Предложенное количество монет для покупки может быть фиксированным или же представленным в виде процента от общей эмиссии. Поскольку торговые площадки не хотят проблем с SEC, то инвесторам из США возможность покупки не представляется такой реальной.

Говоря о личном мнении, могу сказать, что некоторые токены при старте от 100 долларов все же нужно взять себе в портфель, особенно те, о которых говорила выше – сумма небольшая, риски тоже, а перспективы весьма хорошие. Для тех, кто привык искать и проверять информацию, поиски новых проектов не станут чем-то сложным и проблематичным. Желаю всем, кто решить принят участие в токенсейле, хорошего курса, чтобы хватило доступных монет для покупки, и, разумеется, дальнейшего роста стоимости.

imageАвтор Ganesa K. Профессиональный инвестор с опытом работы 5 лет с разными финансовыми инструментами, ведет свой блог и консультирует вкладчиков. Собственные эффективные методики и информационное сопровождение инвестиций.

Оцените статью
Рейтинг автора
4,8
Материал подготовил
Егор Новиков
Наш эксперт
Написано статей
127
А как считаете Вы?
Напишите в комментариях, что вы думаете – согласны
ли со статьей или есть что добавить?
Добавить комментарий