Tinutugunan ng Blockchain ang Kontrobersya sa Seguridad: 'Kailangan nating Gawin ang Mas Mabuting'

Ito ay isang kakila-kilabot na ilang linggo para sa provider ng Bitcoin wallet na Blockchain.

Una, ang nangunguna sa produkto ng kompanya ay nagkaroon ng online spat sa isang Coinbase engineer sa Reddit. Pagkatapos, ang wallet ng Blockchain ay nakuha mula sa Bitcoin.org, isang website na nagbibigay-kaalaman na pinamamahalaan ng mga developer ng Bitcoin CORE at mga miyembro ng komunidad, para sa mahinang seguridad.

Nalaman ng kumpanya ang sarili nitong pampublikong nangangako na ibabalik ang mga customer pagkatapos ng isang random na depekto ng generator ng numero na humantong sa daan-daang address na nakompromiso. Dagdag pa, ang mga hindi napapatunayang online na ulat iminungkahi na ang mga bitcoin ay ninakaw bilang resulta ng isyu.

Kaya, ano ang nangyari, at ano ang susunod na mangyayari?

Kunin muna natin ang pinakabagong isyu. Ang kompanya ay napilitang gumawa ng a Disclosure ng seguridad sa blog nito at sa Reddit, inamin na ang isang error sa pag-unlad ay humantong sa isang problema sa pagbuo ng mga pribadong key. Ang mga pribadong key (epektibo ang mga pribadong address na ginamit sa paghawak ng Bitcoin) ay nabuo na may mababang antas ng entropy, na ginagawang madali para sa mga umaatake na makuha.

Online blowback

Inaalok ng Blockchain na ibalik ang lahat ng mga customer para sa mga nawalang pondo, ngunit ang online blowback ay napakalaki pa rin, na may mga nagkokomento na inaakusahan ang kumpanya ng hindi magandang gawain sa pagpapaunlad at mga problema sa pamamahala.

Pinuna ng mga nagkokomento sa Bitcoin Talk ang Blockchain para sa ilang bagay, kabilang ang pagpayag sa mga developer na itulak ang code sa isang kapaligiran ng produksyon.

ONE komentarista sa Reddit sabi:

"Ito ay seryosong simpleng bagay. Web business 101. Ang isang developer ay dapat literal na walang kakayahan na maglagay ng kahit ano NEAR sa produksyon, dahil kung gagawin nila ay gagawa sila ng isang bagay na katangahan."

"Sa palagay ko ay T tumpak na sabihin na ito ay isang tunay na pagpuna sa Reddit," sinabi ng Blockchain CEO Nicolas Cary sa CoinDesk, tungkol sa mga akusasyon ng mahihirap na proseso ng pag-unlad.

Idinagdag niya:

"Sa palagay ko, may ilang mga hindi nagsasalita na miyembro ng komunidad na may maraming sariling personal na tatak na nakataya ay gumagawa ng ilang mga akusasyon. Nakikinig kami sa mga iyon. Alam namin na kailangan naming gumawa ng mas mahusay. Mayroon kaming napakalakas na development team."

"Kami ay bumuo ng isang malaking halaga ng software," patuloy niya. "We have release safely all the time, we have quality assurance leads. We have a security team. Ang tunay na mensahe sa community is that we are going to get better. We know we need to do a better job. At the same time, we have the humility to do what's right and take care of our users when there are issues."

Ang CORE developer ng Bitcoin na si Peter Todd din pinuna ang kumpanya para sa pagkakaroon lamang ng manu-manong imbakan ng pagsubok sa imbakan ng GitHub nito, sa halip na isang ganap na automated na suite ng pagsubok.

Ang mga senior executive ng Blockchain ay hindi nag-alok ng pormal na tugon sa tweet ni Todd. Ni hindi nila nakumpirma na mayroong isang automated test suite sa kumpanya, tinalakay ang kanilang proseso ng pag-develop o komento tungkol sa $30.5m Serye A nakumpleto ang kasunduan sa pagpopondo Blockchain noong Oktubre.

Ang mga Redditor ay nagkaroon pinuna ang kompanya dahil sa hindi paghigpit ng mga isyu sa seguridad sa pera. Ang mga mapagkukunang malapit sa kumpanya ay pribadong itinuro na nangangailangan ng oras para sa isang bagong pinondohan na kumpanya upang magamit ang perang iyon at gawin ang mga kinakailangang panloob na pagbabago.

Ang pag-delist ng Bitcoin.org

Ang lahat ng ito ay nangyari ilang araw lamang matapos ang mga organizer ng Bitcoin.org inalis ang Blockchain sa listahan ng mga wallet na ibinibigay nito para sa mga gumagamit ng Bitcoin , na may mga nagkomento na nagmumungkahi na "dapat itong muling bisitahin nang may makatwirang pamantayan kahit na kasing hinihingi ng iba pang mga wallet".

Sa talakayan sa loob ng GitHub pull Request hinggil sa listahan ng wallet sa Bitcoin.org, ang site maintainer na si Saïvann Carignan ay nag-highlight ng ilang salik. Ang una ay mga bug at pagkalugi, kung saan nagkaroon ng ilan, aniya.

Ang pangalawa ay backup at password security. "Ang [Blockchain] ay T nagpatibay ng mga tampok na panseguridad na unti-unting nagiging pamantayan sa iba pang mga wallet (hal. BIP32, mga random na passphrase, backup sa setup, umiikot na mga address, 2FA bilang default)," sabi niya.

Binatikos din niya ang kumpanya dahil sa hindi sapat na pagiging transparent, at hindi pag-reset ng source code ng app, at idinagdag:

"Upang maging patas, ang bawat isa sa mga isyung ito ay maaaring naharang o naantala ang paglilista ng Blockchain kung ang wallet ay isinumite ngayon. Alinsunod dito, sa tingin ko ang lohikal na susunod na hakbang upang bigyang-insentibo ang seguridad at bawasan ang mga panganib para sa gumagamit ay upang itaas ang bar para sa Blockchain tulad ng iba pang mga wallet".

Si Ben Reeves, ang CTO ng Blockchain, ay nag-post ng tugon sa talakayang iyon sa GitHub na tumutugon sa mga reklamo at nangangako ng ilang pagbabago. Ito ay pinuri ng iba pang mga kalahok, sa batayan na ang mga paunang kritisismo ay may kinalaman sa track record ng serbisyo ng Blockchain. Kaya, nanatili ang pinagkasunduan na i-delist ang wallet nang hindi bababa sa 60 araw, at hayaan ang Blockchain na muling isumite ito pagkatapos nito.

Inamin ni Carignan ang mga reklamo na walang nakatakdang Policy para sa paglilista o pag-delist ng mga wallet mula sa Bitcoin.org, at nagbukas ng isa pa talakayan upang bumuo ng isang karaniwang proseso.

"Kami ay sabik na muling isumite doon. Iginagalang namin ang kanilang desisyon, ngunit sa huli ay gumawa kami ng mahabang depensa para sa aming posisyon. Kami pa rin ang tanging open-source na kumpanya," sabi ni Cary, na idinagdag na ang kumpanya ay gumagawa ng mga pagbabago sa software nito, at dapat na asahan ng mga tao ang "mga kapana-panabik na bagay na darating sa merkado sa 2015".

Isang mas malawak na problema sa FinTech

Nakagawa ng mga pagkakamali ang Blockchain, ngunit si Emin Gün Sirer, isang associate professor ng computer science sa Cornell University at isang dalubhasa sa mga isyu sa seguridad ng Bitcoin , ay nagbabala laban sa isang witch hunt.

Sabi niya:

"Sa kanilang kredito, napagtanto nila na ang kanilang mga proseso ay nasira nang gumawa sila ng ilang mga tauhan ng pagbabago sa loob upang dalhin ang iba't ibang mga tao na namamahala sa seguridad. Nagkaroon ako ng mga pribadong pag-uusap sa kanila at parang ito ay isang grupo ng mga tao na nagsisikap na itama ang mga bahid sa kanilang paglitaw."

Ang mga isyung ito sa seguridad ay tanda ng mas malawak na problema sa espasyo ng Cryptocurrency , babala ni Sirer.

"Walang puwang para sa pinakamaliit na screwup, at nalaman namin na ang mga karaniwang kasanayan na normal sa Silicon Valley ay hindi katanggap-tanggap sa mundo ng Bitcoin dahil napakaraming nakataya," aniya, na nangangatwiran na ang rate ng mga pagkabigo sa seguridad ay mataas sa industriya ng Bitcoin .

Online spat

Tinawag din ni Cary na "suboptimal" ang timing para sa buong affair na ito. Tila tumpak iyon, dahil sa isang online spat na naganap sa pagitan ng mga executive ng Coinbase at Blockchain mas maaga sa buwang ito dahil sa seguridad ng Bitcoin wallet, kung saan pinuna ng mga kawani ng Blockchain ang operating model ng Coinbase.

Nagsimula ang lahat sa a Reddit post ni Charlie Lee, ang lumikha ng Litecoin, na kumuha ng trabaho sa Coinbase 18 buwan na ang nakalipas. Si Lee, na ngayon ay engineer manager sa kumpanya, ay gustong itakda ang rekord ng tuwid tungkol sa seguridad sa sentralisadong serbisyo ng wallet.

Inilarawan ni Lee kung ano ang nagawa ng serbisyo para sa seguridad ng mga gumagamit nito. Kabilang sa mga inilista niya ay ang mga default na kahilingan para sa two-factor authentication (gamit ang isang bagay na mayroon ka, tulad ng isang telepono, bilang karagdagan sa isang bagay na alam mo, tulad ng isang password) kung gumagawa ng mga transaksyon na higit sa $100. Kasama rin sa serbisyo ang isang Bitcoin vault para sa mga gumagamit nito, at nag-iimbak ng 97% ng sarili nitong mga barya sa malamig na imbakan, sabi ni Lee (CoinDesk ay may sakop ilan sa seguridad ng Coinbase dati).

Ang lahat ng impormasyong ito ay bahagi ng pampublikong rekord. Ang kawili-wiling bahagi ay dumating sa ONE bahagi ng post ni Lee, kung saan inihambing niya ang seguridad ng CoinBase sa Blockchain. ONE bahagi ng post (mamaya inalis) ang nabasa:

“Gayunpaman, sa nakalipas na taon, ang Coinbase ay patuloy na nagpapakilala ng mga bagong tampok sa seguridad habang ang seguridad ng Blockchain wallet ay nanatiling eksaktong pareho, at malamang na lumala.”

Ito ay humantong sa isang galit na tugon ni Keonne Rodriguez, nangunguna sa produkto sa Blockchain, na pinuna Lee para sa paghabol sa kanyang sariling agenda, at inihalintulad siya sa "isang makulimlim na abogado na humahabol sa isang ambulansya".

Isang seryosong diskarte

Ang pagtawag sa pangalan at pagpuna ay T nakakatulong sa sinuman, iminungkahi ni Michael Perklin na presidente ng Bitcoinsultants, at isang espesyalista sa seguridad ng Bitcoin . Si Perklin, isa ring direktor sa Bitcoin Alliance of Canada, ay may background sa seguridad sa loob ng ibang mga industriya.

"Nasisiyahan ako sa mga tumpak na talakayan batay sa mga merito ng argumento," pagtatapos ni Perklin. "Ngunit sa tuwing may bumubuhos ng putik sa ibang tao, kailangan muna nilang madumihan ang kanilang sarili."

Ang mga komentong iyon ay naganap lahat bago ang pinakahuling kapahamakan sa seguridad ng Blockchain. Ano ang masasabi ni Cary tungkol dito ngayon? Siya ay sabik pa rin na gumuhit ng pagkakaiba sa pagitan ng dalawang modelo.

sabi ni Cary:

"Kami ay may malaking paggalang sa kung ano ang ginagawa ng Coinbase. Hindi kami naririto upang magsimula ng isang paligsahan sa pagtapon ng putik sa sinuman. Gusto naming magkaroon ng isang kumpanya na karaniwang may pangmatagalang pananaw para sa tagumpay ng Bitcoin, at sineseryoso ang proteksyon ng consumer, at pinangangalagaan ang mga mamimili kung saan may mga problema, ngunit patuloy din na nagsasagawa ng isang non-custodial na diskarte sa pamamahala ng panganib."

Sinabi ni Cary na ang kumpanya ay sabik na aktibong makisali at makinig. "We take all of these things super-seryoso. We are here for long term," pagtatapos niya.

Imahe ng pagbabalanse ng negosyante sa pamamagitan ng Shutterstock