Blockchain aborda la controversia de seguridad: "Necesitamos hacerlo mejor"

Han sido un par de semanas terribles para el proveedor de billeteras Bitcoin Blockchain.

Primero, el responsable de producto de la empresa tuvo una discusión en línea con un ingeniero de Coinbase en Reddit. Luego, la billetera de Blockchain fue...extraído de Bitcoin, un sitio web informativo administrado por desarrolladores de Bitcoin CORE y miembros de la comunidad, por cuestiones de seguridad.

La empresa se encontró prometiendo públicamente reembolsar a los clientes después de que una falla en el generador de números aleatorios provocara la vulneración de cientos de direcciones. Además, informes en línea sin fundamentosugeridoque se habían robado bitcoins como resultado del problema.

Entonces, ¿qué salió mal y qué pasará a continuación?

Tomemos primero el problema más reciente. La empresa se vio obligada a tomar una...Aviso legal de seguridad En su blog y en Reddit, admitieron que un error de desarrollo había provocado un problema con la generación de claves privadas. Las claves privadas (es decir, las direcciones privadas utilizadas para almacenar Bitcoin) se generaban con un bajo grado de entropía, lo que facilitaba su recuperación por parte de los atacantes.

Reacción en línea

Blockchain ofreció reembolsar a todos los clientes por los fondos perdidos, peroreacción en líneaTodavía era enorme, con comentaristas acusando a la empresa de mal trabajo de desarrollo y problemas de gestión.

Los comentaristas de Bitcoin Talk criticaron a Blockchain por varias cosas, entre ellas permitir a los desarrolladores enviar código a un entorno de producción.

Un comentarista de Reddit dicho:

Esto es muy sencillo. Negocios web básicos. Un desarrollador no debería tener la capacidad de poner nada NEAR de producción, porque si lo hace, acabará cometiendo alguna estupidez.

"No creo que sea exacto decir que esto es una crítica real en Reddit", dijo el CEO de Blockchain, Nicolas Cary, a CoinDesk, sobre las acusaciones de procesos de desarrollo deficientes.

Añadió:

Creo que algunos miembros de la comunidad que se expresan abiertamente y que tienen en juego su propia marca personal están haciendo algunas acusaciones. Las estamos escuchando. Sabemos que tenemos que mejorar. Contamos con un equipo de desarrollo muy sólido.

"Hemos desarrollado una enorme cantidad de software", continuó. "Hemos publicado software de forma segura en todo momento, contamos con líderes de control de calidad y un equipo de seguridad. El mensaje real para la comunidad es que vamos a mejorar. Sabemos que debemos mejorar. Al mismo tiempo, tenemos la humildad de hacer lo correcto y cuidar de nuestros usuarios cuando surgen problemas".

El desarrollador CORE de Bitcoin , Peter Todd, también criticadola empresa solo tiene un repositorio de pruebas manuales en su repositorio de GitHub, en lugar de un conjunto de pruebas totalmente automatizadas.

Los altos ejecutivos de Blockchain no ofrecieron una respuesta formal al tuit de Todd. Tampoco confirmaron que hubiera un conjunto de pruebas automatizadas en la empresa, ni discutieron su proceso de desarrollo ni comentaron sobre elSerie A de 30,5 millones de dólaresEl acuerdo de financiación de Blockchain se completó en octubre.

Los redditors teníancriticadoLa empresa por no reforzar la seguridad con el dinero. Fuentes cercanas a la empresa señalaron en privado que una empresa recién financiada tarda tiempo en utilizar ese dinero y realizar los cambios internos necesarios.

La exclusión de Bitcoin.org

Todo esto ocurrió apenas unos días después de que los organizadores deBitcoin eliminó a Blockchain de la lista de billeteras que ofrece a los usuarios de Bitcoin , y los comentaristas sugirieron que "debería revisarse con criterios razonables al menos tan exigentes como otras billeteras".

En el discusión En la Request de extracción de GitHub relativa a la inclusión de la billetera en Bitcoin, el responsable del sitio, Saïvann Carignan, destacó varios factores. El primero fueron los errores y las pérdidas, que según él han sido numerosas.

El segundo fue la seguridad de las copias de seguridad y las contraseñas. «[Blockchain] no ha adoptado las funciones de seguridad que poco a poco se están convirtiendo en estándar en otras billeteras (por ejemplo, BIP32, contraseñas aleatorias, copia de seguridad al configurar, direcciones rotativas, autenticación de dos factores por defecto)», afirmó.

También criticó a la empresa por no ser lo suficientemente transparente y no restablecer el código fuente de la aplicación, y agregó:

Para ser justos, cada uno de estos problemas habría bloqueado o retrasado la inclusión de Blockchain en el listado si la billetera se hubiera presentado hoy. Por lo tanto, creo que el siguiente paso lógico para incentivar la seguridad y reducir los riesgos para el usuario es elevar el estándar para Blockchain, al igual que para otras billeteras.

Ben Reeves, director de tecnología de Blockchain, publicó una respuesta en esa discusión de GitHub, abordando las quejas y prometiendo varios cambios. Los demás participantes elogiaron esta respuesta, argumentando que las críticas iniciales se referían al historial del servicio Blockchain. Por lo tanto, el consenso se mantuvo en retirar la billetera de la lista durante al menos 60 días y permitir que Blockchain la vuelva a publicar después.

Carignan reconoció las quejas de que no había una Regulación establecida para incluir o excluir billeteras de Bitcoin y abrió otra discusiónDesarrollar un proceso estándar.

"Estamos ansiosos por volver a presentar la solicitud. Respetamos su decisión, pero al final hemos defendido nuestra postura con mucha detenimiento. Seguimos siendo la única empresa de código abierto", dijo Cary, quien añadió que la empresa está implementando cambios en su software y que se espera que la gente vea novedades interesantes en el mercado en 2015.

Un problema más amplio de FinTech

Blockchain ha cometido sus errores, pero Emin Gün Sirer, profesor asociado de informática en la Universidad de Cornell y experto en cuestiones de seguridad de Bitcoin , advirtió contra una caza de brujas.

Él dijo:

Hay que reconocer que se dieron cuenta de que sus procesos fallaban cuando hicieron cambios de personal internos para poner a diferentes responsables de seguridad. He tenido conversaciones privadas con ellos y parece que se trata de un grupo de personas que se esfuerzan por corregir las fallas a medida que aparecen.

Estos problemas de seguridad son una señal de un problema más amplio en el espacio de las Criptomonedas , advirtió Sirer.

"No hay lugar para el más mínimo error, y estamos descubriendo que las prácticas estándar que son normales en Silicon Valley son inaceptables en el mundo de Bitcoin porque hay mucho en juego", dijo, argumentando que la tasa de fallos de seguridad es alta en toda la industria de Bitcoin .

Disputa en línea

Cary también calificó el momento de todo este asunto como "poco óptimo". Esto parece acertado, considerando la disputa en línea que surgió entre ejecutivos de Coinbase y Blockchain a principios de este mes sobre la seguridad de las billeteras de Bitcoin , en la que el personal de Blockchain criticó el modelo operativo de Coinbase.

Todo empezó con unPublicación de Reddit por Charlie Lee, el creador de Litecoin, quien aceptó un trabajo en CoinbaseHace 18 meses, Lee, ahora gerente de ingeniería de la empresa, quería aclarar la situación sobre la seguridad del servicio de billetera centralizada.

Lee describió las medidas que el servicio ha tomado para la seguridad de sus usuarios. Entre las que mencionó se encuentran las solicitudes predeterminadas de autenticación de dos factores (usando algo que se tiene, como un teléfono, además de algo que se conoce, como una contraseña) al realizar transacciones superiores a $100. El servicio también incluyó una bóveda de Bitcoin para sus usuarios y almacena el 97% de sus propias monedas en almacenamiento en frío, dijo Lee (CoinDesk ha... cubiertoalgunos de los valores de seguridad de Coinbase anteriores).

Toda esta información es de dominio público. Lo interesante se encontró en una parte de la publicación de Lee, donde comparó la seguridad de CoinBase con la de Blockchain. Una parte de la publicación (posteriormente eliminada) decía:

Sin embargo, durante el último año, Coinbase siguió introduciendo nuevas funciones de seguridad, mientras que la seguridad de la billetera Blockchain se mantuvo igual y, posiblemente, empeoró.

Esto provocó una respuesta enojada por parte de Keonne Rodríguez, líder de producto en Blockchain, quiencriticadoLee por perseguir sus propios intereses y lo comparó con “un abogado sospechoso que persigue una ambulancia”.

Un enfoque serio

Los insultos y las críticas no ayudan a nadie, sugirió Michael Perklin, presidente de Bitcoinsultants y especialista en seguridad de Bitcoin . Perklin, también director de la Alianza Bitcoin de Canadá, tiene experiencia en seguridad en otros sectores.

“Disfruto de las discusiones precisas basadas en los méritos del argumento”, concluyó Perklin. “Pero cuando alguien critica duramente a otro, primero tiene que ensuciarse”.

Todos estos comentarios ocurrieron antes del último desastre de seguridad de Blockchain. ¿Qué opina Cary al respecto ahora? Sigue ansioso por establecer distinciones entre ambos modelos.

Cary dijo:

Respetamos mucho el trabajo de Coinbase. No estamos aquí para iniciar una competencia de desprestigio con nadie. Queremos una empresa con una visión a largo plazo para el éxito de Bitcoin, que se tome muy en serio la protección del consumidor y que atienda a los consumidores cuando surjan problemas, pero que también mantenga un enfoque sin custodia para la gestión de riesgos.

Cary afirmó que la empresa estaba dispuesta a participar activamente y escuchar. «Nos tomamos todo esto muy en serio. Estamos aquí para el largo plazo», concluyó.

Imagen de un hombre de negocios equilibrando a través de Shutterstock