Blockchain affronta la controversia sulla sicurezza: "Dobbiamo fare di meglio"

Sono state un paio di settimane terribili per il fornitore di portafogli Bitcoin Blockchain.

Innanzitutto, il product lead dell'azienda ha avuto una lite online con un ingegnere di Coinbase su Reddit. Poi, il portafoglio di Blockchain è statoestratto da Bitcoin.org, un sito web informativo gestito dagli sviluppatori Bitcoin CORE e dai membri della comunità, per la scarsa sicurezza.

L'azienda si è ritrovata a promettere pubblicamente di rimborsare i clienti dopo un difetto nel generatore di numeri casuali che ha portato alla compromissione di centinaia di indirizzi. Inoltre, segnalazioni online non comprovatesuggeritoche a causa di questo problema erano stati rubati dei bitcoin.

Quindi, cosa è andato storto e cosa succederà ora?

Prendiamo prima il problema più recente. L'azienda è stata costretta a fare unDichiarazione informativa della sicurezza sul suo blog e su Reddit, ammettendo che un errore di sviluppo aveva portato a un problema con la generazione di chiavi private. Le chiavi private (in pratica gli indirizzi privati ​​usati per contenere Bitcoin) erano generate con un basso grado di entropia, rendendole facili da recuperare per gli aggressori.

Contraccolpo online

Blockchain si è offerta di rimborsare tutti i clienti per i fondi persi, ma ilcontraccolpo onlineera comunque enorme, con commentatori che accusavano l'azienda di pessimo lavoro di sviluppo e problemi gestionali.

I commentatori di Bitcoin Talk hanno criticato la tecnologia Blockchain per diversi motivi, tra cui la possibilità per gli sviluppatori di inviare il codice a un ambiente di produzione.

ONE commentatore di Reddit disse:

"Questa è roba davvero semplice. Web business 101. Uno sviluppatore non dovrebbe letteralmente avere la capacità di mettere nulla NEAR alla produzione, perché se lo facesse, alla fine farebbe qualcosa di stupido."

"T credo sia corretto affermare che questa sia una vera critica su Reddit", ha detto il CEO di Blockchain Nicolas Cary a CoinDesk, in merito alle accuse di scarsi processi di sviluppo.

Ha aggiunto:

"Penso che alcuni membri schietti della comunità che hanno molto del loro marchio personale in gioco stiano muovendo delle accuse. Li stiamo ascoltando. Sappiamo che dobbiamo fare di meglio. Abbiamo un team di sviluppo molto forte."

"Abbiamo creato un'enorme quantità di software", ha continuato. "Abbiamo rilasciato in modo sicuro tutto il tempo, abbiamo responsabili della garanzia della qualità. Abbiamo un team di sicurezza. Il vero messaggio alla comunità è che miglioreremo. Sappiamo che dobbiamo fare un lavoro migliore. Allo stesso tempo, abbiamo l'umiltà di fare ciò che è giusto e prenderci cura dei nostri utenti quando ci sono problemi".

Peter Todd, CORE Bitcoin , è anche criticatol'azienda per avere solo un repository di test manuali nel suo repository GitHub, anziché una suite di test completamente automatizzata.

I dirigenti senior di Blockchain non hanno offerto una risposta formale al tweet di Todd. Né hanno confermato che ci fosse una suite di test automatizzata in azienda, discusso il loro processo di sviluppo o commentato ilSerie A da 30,5 milioni di dollariaccordo di finanziamento Blockchain completato in ottobre.

I Redditor avevanocriticatol'azienda per non aver rafforzato i problemi di sicurezza con i soldi. Fonti vicine all'azienda hanno sottolineato privatamente che ci vuole tempo perché un'azienda appena finanziata utilizzi quei soldi e apporti i cambiamenti interni necessari.

La cancellazione di Bitcoin.org

Tutto questo è accaduto solo pochi giorni dopo che gli organizzatori diBitcoin.org ha rimosso Blockchain dall'elenco dei portafogli forniti agli utenti Bitcoin , con alcuni commentatori che suggeriscono che "dovrebbe essere rivisitato con criteri ragionevoli e almeno altrettanto rigorosi di quelli degli altri portafogli".

Neldiscussione all'interno della Request di pull GitHub relativa all'inserimento del portafoglio su Bitcoin.org, il responsabile del sito Saïvann Carignan ha evidenziato diversi fattori. Il primo è stato bug e perdite, di cui ce ne sono stati diversi, ha detto.

Il secondo era il backup e la sicurezza delle password. "[Blockchain] T ha adottato funzionalità di sicurezza che stanno lentamente diventando standard in altri wallet (ad esempio BIP32, passphrase casuali, backup durante la configurazione, indirizzi rotanti, 2FA di default)", ha affermato.

Ha anche criticato l'azienda per non essere stata abbastanza trasparente e per non aver reimpostato il codice sorgente dell'app, aggiungendo:

"Per essere onesti, ognuno di questi problemi avrebbe bloccato o ritardato l'inserimento di Blockchain se il portafoglio fosse stato presentato oggi. Di conseguenza, penso che il passo logico successivo per incentivare la sicurezza e ridurre i rischi per l'utente sia quello di alzare l'asticella per Blockchain come per altri portafogli".

Ben Reeves, CTO di Blockchain, ha pubblicato una risposta in quella discussione su GitHub, affrontando i reclami e promettendo diversi cambiamenti. Ciò è stato elogiato dagli altri partecipanti, sulla base del fatto che le critiche iniziali riguardavano il track record del servizio Blockchain. Quindi, il consenso è rimasto per delistare il portafoglio per almeno 60 giorni e lasciare che Blockchain lo ripresentasse dopo.

Carignan ha riconosciuto le lamentele secondo cui non esisteva Politiche definita per l'inserimento o la rimozione dei portafogli da Bitcoin.org e ne ha aperto un altro discussioneper sviluppare un processo standard.

"Siamo impazienti di ripresentare la domanda. Rispettiamo la loro decisione, ma alla fine abbiamo difeso a lungo la nostra posizione. Siamo ancora l'unica azienda open source", ha affermato Cary, che ha aggiunto che l'azienda sta apportando modifiche al suo software e che le persone dovrebbero aspettarsi "cose entusiasmanti che arriveranno sul mercato nel 2015".

Un problema FinTech più ampio

La tecnologia blockchain ha commesso i suoi errori, ma Emin Gün Sirer, professore associato di informatica alla Cornell University ed esperto di questioni relative alla sicurezza Bitcoin , ha messo in guardia contro una caccia alle streghe.

Ha detto:

"A loro merito hanno capito che i loro processi erano compromessi quando hanno apportato alcune modifiche al personale internamente per portare persone diverse a capo della sicurezza. Ho avuto conversazioni private con loro e sembra che si tratti di un gruppo di persone che si sforza molto di correggere i difetti man mano che si presentano."

Questi problemi di sicurezza sono il segnale di un problema più ampio nel settore Criptovaluta , ha avvertito Sirer.

"Non c'è spazio per il più piccolo errore e stiamo scoprendo che le pratiche standard che sono normali nella Silicon Valley sono inaccettabili nel mondo Bitcoin perché c'è molto in gioco", ha affermato, sostenendo che il tasso di falle nella sicurezza è elevato nell'intero settore Bitcoin .

Litigio online

Cary ha anche definito la tempistica di tutta questa faccenda "subottimale". Ciò sembra corretto, dato uno scontro online scoppiato tra i dirigenti di Coinbase e Blockchain all'inizio di questo mese sulla sicurezza del portafoglio Bitcoin , in cui lo staff di Blockchain ha criticato il modello operativo di Coinbase.

Tutto è iniziato con unPost di Reddit di Charlie Lee, il creatore di Litecoin, che ha accettato un lavoro presso Coinbase18 mesi fa. Lee, ora responsabile tecnico dell'azienda, voleva chiarire la questione della sicurezza del servizio di portafoglio centralizzato.

Lee ha descritto cosa ha fatto il servizio per la sicurezza dei suoi utenti. Tra quelli che ha elencato c'erano richieste predefinite per l'autenticazione a due fattori (utilizzando qualcosa che hai, come un telefono, oltre a qualcosa che conosci, come una password) se si effettuano transazioni superiori a $ 100. Il servizio includeva anche un caveau Bitcoin per i suoi utenti e conserva il 97% delle sue monete in cold storage, ha detto Lee (CoinDesk ha copertoalcune delle misure di sicurezza di Coinbase prima).

Tutte queste informazioni fanno parte del registro pubblico. La parte interessante è arrivata in ONE parte del post di Lee, in cui ha paragonato la sicurezza di CoinBase a quella di Blockchain. ONE parte del post (in seguito rimossa) recitava:

"Tuttavia, nel corso dell'ultimo anno, Coinbase ha continuato a introdurre nuove funzionalità di sicurezza, mentre la sicurezza del portafoglio Blockchain è rimasta esattamente la stessa e, si può sostenere, è peggiorata".

Ciò ha portato a una furiosa risposta da parte di Keonne Rodriguez, responsabile del prodotto presso Blockchain, checriticatoLee per aver perseguito i propri interessi, paragonandolo a "un losco avvocato che insegue un'ambulanza".

Un approccio serio

Insultare e criticare T aiuta nessuno, ha suggerito Michael Perklin, presidente di Bitcoinsultants e specialista in sicurezza Bitcoin . Perklin, anche direttore della Bitcoin Alliance of Canada, ha un background in sicurezza in altri settori.

"Mi piacciono le discussioni accurate basate sui meriti dell'argomento", ha concluso Perklin. "Ma ogni volta che qualcuno getta fango su qualcun altro, deve prima sporcarsi".

Questi commenti sono stati tutti fatti prima dell'ultimo fiasco sulla sicurezza di Blockchain. Cosa ne pensa Cary adesso? È ancora impaziente di fare distinzioni tra i due modelli.

Cary ha detto:

"Abbiamo molto rispetto per ciò che sta facendo Coinbase. Non siamo qui per iniziare una gara di fango con nessuno. Vogliamo avere un'azienda che fondamentalmente ha una visione a lungo termine per il successo di Bitcoin, e prende molto sul serio la protezione dei consumatori, e si prende cura dei consumatori quando ci sono problemi, ma continua anche ad adottare un approccio non custodiale per gestire il rischio."

Cary ha detto che l'azienda era ansiosa di impegnarsi attivamente e ascoltare. "Prendiamo tutte queste cose super seriamente. Siamo qui per il lungo termine", ha concluso.

Immagine di un uomo d'affari in equilibrio tramite Shutterstock