Blockchain aborda controvérsia de segurança: 'Precisamos fazer melhor'

Foram duas semanas terríveis para o provedor de carteira de Bitcoin Blockchain.

Primeiro, o líder de produto da empresa entrou em uma briga online com um engenheiro da Coinbase no Reddit. Então, a carteira da Blockchain foiretirado de Bitcoin.org, um site informativo gerenciado por desenvolvedores do Bitcoin CORE e membros da comunidade, por falta de segurança.

A empresa se viu prometendo publicamente reembolsar os clientes após uma falha no gerador de números aleatórios que levou ao comprometimento de centenas de endereços. Além disso, relatos online infundadossugeridoque bitcoins foram roubados como resultado do problema.

Então, o que deu errado e o que vai acontecer a seguir?

Vamos primeiro ao problema mais recente. A empresa foi forçada a fazer umaAviso Importante de segurança em seu blog e no Reddit, admitindo que um erro de desenvolvimento levou a um problema com a geração de chaves privadas. Chaves privadas (efetivamente os endereços privados usados ​​para armazenar Bitcoin) foram geradas com um baixo grau de entropia, tornando-as fáceis para invasores recuperarem.

Reação negativa online

A Blockchain ofereceu-se para reembolsar todos os clientes pelos fundos perdidos, mas oreação negativa onlineainda era enorme, com comentaristas acusando a empresa de mau trabalho de desenvolvimento e problemas de gestão.

Comentaristas no Bitcoin Talk criticaram o Blockchain por várias coisas, incluindo permitir que desenvolvedores enviem código para um ambiente de produção.

Um comentarista do Reddit disse:

“Isso é algo muito simples. Web business 101. Um desenvolvedor literalmente não deveria ter a habilidade de colocar nada NEAR de produção, porque se o fizer, eventualmente fará algo estúpido.”

"T acho que seja correto dizer que esta é uma crítica real ao Reddit", disse o CEO da Blockchain, Nicolas Cary, ao CoinDesk, sobre acusações de processos de desenvolvimento deficientes.

Ele acrescentou:

“Acho que alguns membros francos da comunidade que têm muito de sua própria marca pessoal em jogo estão fazendo algumas acusações. Estamos ouvindo esses. Sabemos que temos que fazer melhor. Temos uma equipe de desenvolvimento muito forte."

"Construímos uma quantidade enorme de software", ele continuou. "Lançamos com segurança o tempo todo, temos líderes de garantia de qualidade. Temos uma equipe de segurança. A mensagem real para a comunidade é que vamos melhorar. Sabemos que precisamos fazer um trabalho melhor. Ao mesmo tempo, temos a humildade de fazer o que é certo e cuidar de nossos usuários quando há problemas."

O desenvolvedor CORE do Bitcoin , Peter Todd, também criticadoa empresa por ter apenas um repositório de testes manuais em seu repositório GitHub, em vez de um conjunto de testes totalmente automatizado.

Os executivos seniores da Blockchain não ofereceram uma resposta formal ao tweet de Todd. Eles também não confirmaram que havia um conjunto de testes automatizados na empresa, discutiram seu processo de desenvolvimento ou comentaram sobre oSérie A de US$ 30,5 milhõesacordo de financiamento Blockchain concluído em outubro.

Os Redditors tinhamcriticadoa empresa por não reforçar questões de segurança com o dinheiro. Fontes próximas à empresa apontaram reservadamente que leva tempo para uma empresa recém-financiada usar esse dinheiro e fazer as mudanças internas necessárias.

A retirada do Bitcoin.org da lista

Tudo isto aconteceu poucos dias depois dos organizadores doBitcoin.org retirou o Blockchain da lista de carteiras que ele fornece para usuários de Bitcoin , com comentaristas sugerindo que "ele deveria ser revisitado com critérios razoáveis, pelo menos tão exigentes quanto outras carteiras".

No discussão dentro do pull Request do GitHub referente à listagem da carteira no Bitcoin.org, o mantenedor do site Saïvann Carignan destacou vários fatores. O primeiro foram bugs e perdas, dos quais houve vários, ele disse.

O segundo foi backup e segurança de senha. "[Blockchain] T adotou recursos de segurança que estão lentamente se tornando padrão em outras carteiras (por exemplo, BIP32, frases-senha aleatórias, backup na configuração, endereços rotativos, 2FA por padrão)", disse ele.

Ele também criticou a empresa por não ser transparente o suficiente e não redefinir o código-fonte do aplicativo, acrescentando:

“Para ser justo, cada um desses problemas teria bloqueado ou atrasado a listagem do Blockchain se a carteira tivesse sido enviada hoje. Consequentemente, acho que o próximo passo lógico para incentivar a segurança e reduzir os riscos para o usuário é elevar o nível do Blockchain como outras carteiras”.

Ben Reeves, CTO da Blockchain, postou uma resposta naquela discussão do GitHub abordando as reclamações e prometendo várias mudanças. Isso foi elogiado pelos outros participantes, com base no fato de que as críticas iniciais diziam respeito ao histórico do serviço Blockchain. Então, o consenso permaneceu para remover a carteira da lista por pelo menos 60 dias, e deixar a Blockchain reenviá-la depois disso.

Carignan reconheceu as reclamações de que não havia uma Política definida para listar ou remover carteiras do Bitcoin.org e abriu outra discussãopara desenvolver um processo padrão.

"Estamos ansiosos para reenviar para lá. Respeitamos a decisão deles, mas, no fim das contas, fizemos uma longa defesa para nossa posição. Ainda somos a única empresa de código aberto", disse Cary, que acrescentou que a empresa está fazendo mudanças em seu software e que as pessoas devem esperar "coisas empolgantes chegando ao mercado em 2015".

Um problema FinTech mais amplo

O blockchain cometeu seus erros, mas Emin Gün Sirer, professor associado de ciência da computação na Universidade Cornell e especialista em questões de segurança do Bitcoin , alertou contra uma caça às bruxas.

Ele disse:

"Para o crédito deles, eles perceberam que seus processos estavam quebrados quando fizeram algumas mudanças de pessoal internamente para trazer pessoas diferentes para o comando da segurança. Tive conversas privadas com eles e parece que é um bando de pessoas tentando arduamente consertar as falhas conforme elas aparecem."

Esses problemas de segurança são um sinal de um problema maior no espaço das Criptomoeda , alertou Sirer.

"Não há espaço para o menor erro, e estamos descobrindo que práticas padrão que são normais no Vale do Silício são inaceitáveis ​​no mundo do Bitcoin porque há muito em jogo", disse ele, argumentando que a taxa de falhas de segurança é alta em todo o setor de Bitcoin .

Briga online

Cary também chamou o momento para todo esse caso de "abaixo do ideal". Isso parece preciso, dada uma briga online que estourou entre os executivos da Coinbase e da Blockchain no início deste mês sobre a segurança da carteira de Bitcoin , na qual a equipe da Blockchain criticou o modelo operacional da Coinbase.

Tudo começou com umPostagem do Reddit por Charlie Lee, o criador do Litecoin, que conseguiu um emprego na Coinbase18 meses atrás. Lee, agora gerente de engenharia da empresa, queria deixar claro sobre a segurança no serviço de carteira centralizada.

Lee descreveu o que o serviço fez pela segurança de seus usuários. Entre os que ele listou estavam solicitações padrão para autenticação de dois fatores (usando algo que você tem, como um telefone, além de algo que você sabe, como uma senha) se fizer transações acima de US$ 100. O serviço também incluiu um cofre de Bitcoin para seus usuários e armazena 97% de suas próprias moedas em armazenamento a frio, disse Lee (CoinDesk tem abordadoparte da segurança da Coinbase antes).

Todas essas informações são parte do registro público. A parte interessante veio em uma parte do post de Lee, na qual ele comparou a segurança da CoinBase à do Blockchain. Uma parte do post (posteriormente removida) dizia:

“No entanto, no ano passado, a Coinbase continuou introduzindo novos recursos de segurança, enquanto a segurança da carteira Blockchain permaneceu exatamente a mesma e, sem dúvida, piorou.”

Isso levou a uma resposta furiosa de Keonne Rodriguez, líder de produto da Blockchain, quecriticadoLee por perseguir sua própria agenda e o comparou a “um advogado obscuro perseguindo uma ambulância”.

Uma abordagem séria

Chamar nomes e criticar T ajuda ninguém, sugeriu Michael Perklin, presidente da Bitcoinsultants e especialista em segurança de Bitcoin . Perklin, também diretor da Bitcoin Alliance of Canada, tem experiência em segurança em outras indústrias.

“Gosto de discussões precisas baseadas nos méritos do argumento”, concluiu Perklin. “Mas sempre que alguém joga lama em outra pessoa, tem que se sujar primeiro.”

Todos esses comentários ocorreram antes do último desastre de segurança do Blockchain. O que Cary tem a dizer sobre isso agora? Ele ainda está ansioso para fazer distinções entre os dois modelos.

Cary disse:

“Temos muito respeito pelo que a Coinbase está fazendo. Não estamos aqui para começar uma disputa de lama com ninguém. Queremos ter uma empresa que basicamente tenha uma visão de longo prazo para o sucesso do Bitcoin, e leve a proteção do consumidor muito a sério, e cuide dos consumidores onde há problemas, mas também continue a adotar uma abordagem não custodial para gerenciar riscos.”

Cary disse que a empresa estava ansiosa para se envolver ativamente e ouvir. “Levamos todas essas coisas super a sério. Estamos aqui para o longo prazo”, concluiu.

Empresário equilibrando imagem via Shutterstock