Блокчейн решает споры о безопасности: «Нам нужно работать лучше»

Это были ужасные несколько недель для поставщика Bitcoin -кошельков Blockchain.

Сначала руководитель продукта фирмы вступил в онлайн-перепалку с инженером Coinbase на Reddit. Затем кошелек Blockchain былвзято с Bitcoin.org, информационный веб-сайт, управляемый разработчиками CORE Bitcoin и членами сообщества, из-за низкого уровня безопасности.

Компания оказалась публично обещающей возместить клиентам убытки после ошибки генератора случайных чисел, которая привела к взлому сотен адресов. Кроме того, неподтвержденные онлайн-отчетыпредложенныйчто в результате этой эмиссии были украдены биткоины.

Итак, что же пошло не так и что будет дальше?

Давайте сначала рассмотрим самый последний вопрос. Фирма была вынуждена сделатьРаскрытие информации о безопасности в своем блоге и на Reddit, признав, что ошибка разработки привела к проблеме с генерацией закрытых ключей. Закрытые ключи (фактически закрытые адреса, используемые для хранения Bitcoin) были сгенерированы с низкой степенью энтропии, что сделало их легкими для извлечения злоумышленниками.

Онлайн-отклик

Блокчейн предложил возместить всем клиентам потерянные средства, ноонлайн-откликпо-прежнему была огромной, и комментаторы обвиняли компанию в плохой работе по развитию и проблемах с управлением.

Комментаторы на Bitcoin Talk раскритиковали Blockchain за несколько вещей, в том числе за то, что он позволяет разработчикам переносить код в производственную среду.

ONE комментатор Reddit сказал:

«Это действительно простая вещь. Веб-бизнес азбука. Разработчик буквально не должен иметь возможности помещать что-либо NEAR к производству, потому что если он это сделает, то в конечном итоге сделает что-то глупое».

«Я T думаю, что было бы правильно утверждать, что это настоящая критика на Reddit», — сказал генеральный директор Blockchain Николас Кэри в интервью CoinDesk по поводу обвинений в неудовлетворительных процессах разработки.

Он добавил:

«Я думаю, что несколько откровенных членов сообщества, которые ставят на карту свой личный бренд, выдвигают некоторые обвинения. Мы прислушиваемся к ним. Мы знаем, что нам нужно работать лучше. У нас очень сильная команда разработчиков».

«Мы создали огромное количество программного обеспечения», — продолжил он. «Мы все время выпускали его безопасно, у нас есть руководители по обеспечению качества. У нас есть команда по безопасности. Реальное послание сообществу — мы собираемся стать лучше. Мы знаем, что нам нужно работать лучше. В то же время у нас есть скромность, чтобы делать то, что правильно, и заботиться о наших пользователях, когда возникают проблемы».

CORE разработчик Bitcoin Питер Тодд также критиковаликомпанию за то, что в ее репозитории GitHub имеется только репозиторий ручного тестирования, а не полностью автоматизированный тестовый набор.

Старшие руководители Blockchain не дали официального ответа на твит Тодда. Они также не подтвердили, что в компании есть автоматизированный набор тестов, не обсудили процесс разработки и не прокомментировали $30,5 млн. Серия AСделка по финансированию Blockchain завершена в октябре.

У пользователей Reddit былокритиковалифирму за то, что она не ужесточила меры безопасности, связанные с деньгами. Источники, близкие к компании, в частном порядке отметили, что недавно профинансированной компании требуется время, чтобы использовать эти деньги и провести необходимые внутренние изменения.

Исключение Bitcoin.org

Все это произошло всего через несколько дней после того, как организаторыBitcoin.org исключил Blockchain из списка кошельков, которые он предоставляет пользователям Bitcoin , а комментаторы предположили, что «его следует пересмотреть с разумными критериями, по крайней мере такими же строгими, как и другие кошельки».

Вобсуждение В рамках Request на включение GitHub в листинг кошелька на Bitcoin.org, администратор сайта Сайван Кариньян выделил несколько факторов. Первый — это ошибки и потери, которых было несколько, сказал он.

Вторым фактором было резервное копирование и безопасность паролей. «[Блокчейн] T принял функции безопасности, которые постепенно становятся стандартными в других кошельках (например, BIP32, случайные парольные фразы, резервное копирование при настройке, ротация адресов, 2FA по умолчанию)», — сказал он.

Он также раскритиковал компанию за недостаточную прозрачность и отказ от сброса исходного кода приложения, добавив:

«Справедливости ради, каждая из этих проблем заблокировала бы или задержала бы листинг Blockchain, если бы кошелек был представлен сегодня. Соответственно, я думаю, что логичным следующим шагом для стимулирования безопасности и снижения рисков для пользователя является повышение планки для Blockchain, как и для других кошельков».

Бен Ривз, технический директор Blockchain, опубликовал ответ в обсуждении GitHub, в котором рассмотрел жалобы и пообещал внести несколько изменений. Это было высоко оценено другими участниками на том основании, что первоначальная критика касалась послужного списка сервиса Blockchain. Таким образом, консенсус остался прежним: исключить кошелек из листинга как минимум на 60 дней и позволить Blockchain повторно подать его после этого.

Кариньян признал жалобы на отсутствие установленной Политика листинга или исключения кошельков из Bitcoin.org и открыл еще один обсуждениеразработать стандартный процесс.

«Мы с нетерпением ждем повторной подачи заявки. Мы уважаем их решение, но в конечном итоге нам пришлось долго защищать свою позицию. Мы по-прежнему единственная компания с открытым исходным кодом», — сказал Кэри, добавив, что компания вносит изменения в свое программное обеспечение, и что людям следует ожидать «внедрения на рынок захватывающих вещей в 2015 году».

Более широкая проблема FinTech

Блокчейн совершил свои ошибки, но Эмин Гюн Сирер, доцент кафедры компьютерных наук Корнелльского университета и эксперт по вопросам безопасности Bitcoin , предостерегает от охоты на ведьм.

Он сказал:

«К их чести, они поняли, что их процессы были нарушены, когда провели некоторые внутренние кадровые перестановки, чтобы назначить других людей ответственными за безопасность. У меня были с ними личные беседы, и похоже, что это группа людей, которые изо всех сил стараются исправить недостатки по мере их появления».

Сирер предупредил, что эти проблемы безопасности являются признаком более масштабной проблемы в сфере Криптовалюта .

«Нет места даже для самой маленькой ошибки, и мы обнаруживаем, что стандартные практики, которые являются нормой в Кремниевой долине, неприемлемы в мире Bitcoin , поскольку на карту поставлено очень многое», — сказал он, отметив, что уровень сбоев в системе безопасности в индустрии Bitcoin высок.

Онлайн-ссора

Кэри также назвал время для всего этого дела «неоптимальным». Это кажется точным, учитывая онлайн-ссору, которая вспыхнула между руководителями Coinbase и Blockchain в начале этого месяца по поводу безопасности Bitcoin кошелька, в ходе которой сотрудники Blockchain раскритиковали операционную модель Coinbase.

Все началось сПост на Reddit Чарли Ли, создатель Litecoin, который устроился на работу в Coinbase18 месяцев назад. Ли, ныне работающий в компании менеджером-инженером, хотел прояснить ситуацию с безопасностью централизованного сервиса кошелька.

Ли описал, что сервис сделал для безопасности своих пользователей. Среди того, что он перечислил, были запросы по умолчанию на двухфакторную аутентификацию (использование чего-то, что у вас есть, например, телефона, в дополнение к чему-то, что вы знаете, например, пароля) при совершении транзакций на сумму свыше 100 долларов. Сервис также включал хранилище Bitcoin для своих пользователей и хранил 97% своих собственных монет в холодном хранилище, сказал Ли (CoinDesk имеет покрытыйчасть безопасности Coinbase ранее).

Вся эта информация является частью публичного отчета. Интересная часть появилась в ONE части поста Ли, где он сравнил безопасность CoinBase с безопасностью Blockchain. ONE часть поста (позже удаленная) гласила:

«Однако за последний год Coinbase продолжала внедрять новые функции безопасности, в то время как безопасность кошелька Blockchain осталась прежней, а возможно, и ухудшилась».

Это вызвало гневную реакцию со стороны Кеонне Родригеса, руководителя отдела продуктов Blockchain, которыйкритиковалиЛи за преследование собственных интересов и сравнил его с «сомнительным адвокатом, гоняющимся за каретой скорой помощи».

Серьёзный подход

Обзывания и критика никому T помогают, предположил Майкл Перклин, президент Bitcoinsultants и специалист по безопасности Bitcoin . Перклин, также являющийся директором Bitcoin Alliance of Canada, имеет опыт работы в сфере безопасности в других отраслях.

«Мне нравятся точные дискуссии, основанные на достоинствах аргумента», — заключил Перклин. «Но всякий раз, когда кто-то бросает грязь в другого, ему сначала приходится испачкаться самому».

Все эти комментарии были сделаны до последнего провала безопасности Blockchain. Что Кэри может сказать об этом сейчас? Он по-прежнему стремится провести различия между двумя моделями.

Кэри сказал:

«Мы с большим уважением относимся к тому, что делает Coinbase. Мы здесь не для того, чтобы начать соревнование по обливанию грязью кого-либо. Мы хотим иметь компанию, которая в принципе имеет долгосрочное видение успеха Bitcoin и очень серьезно относится к защите прав потребителей, заботится о потребителях, когда у них возникают проблемы, но также продолжает придерживаться некастодиального подхода к управлению рисками».

Кэри сказал, что компания стремится активно взаимодействовать и слушать. «Мы воспринимаем все эти вещи очень серьезно. Мы здесь надолго», — заключил он.

Бизнесмен, балансирующий изображение через Shutterstock