Блокчейн вирішує суперечку щодо безпеки: «Нам потрібно зробити краще»

Це була жахлива пара тижнів для постачальника Bitcoin гаманців Blockchain.

По-перше, керівник продукту фірми потрапив в онлайн-сварку з інженером Coinbase на Reddit. Потім був гаманець Blockchain отримано з Bitcoin.org, інформаційний веб-сайт, керований CORE розробниками Bitcoin і членами спільноти, через низький рівень безпеки.

Компанія виявила, що публічно пообіцяла відшкодувати клієнтам після помилки генератора випадкових чисел, яка призвела до зламу сотень адрес. Крім того, необґрунтовані повідомлення в Інтернеті запропоновано що біткойни були вкрадені в результаті емісії.

Отже, що пішло не так і що буде далі?

Давайте спершу розглянемо найновіший випуск. Фірма була змушена зробити a Повідомлення безпеки у своєму блозі та на Reddit, визнавши, що помилка розробки призвела до проблеми з генерацією закритих ключів. Приватні ключі (фактично приватні адреси, які використовуються для зберігання Bitcoin) були згенеровані з низьким ступенем ентропії, що полегшує їх отримання зловмисниками.

Відворот онлайн

Blockchain запропонував відшкодувати всім клієнтам втрачені кошти, але онлайн відворот все ще був величезним, а коментатори звинувачували компанію у поганій роботі з розробкою та проблемах управління.

Коментатори на Bitcoin Talk критикували Blockchain за кілька речей, включаючи можливість розробникам надсилати код у робоче середовище.

ONE коментатор Reddit сказав:

"Це дуже проста штука. Веб-бізнес 101. Розробник буквально не повинен мати можливості розміщувати щось NEAR робочого, тому що якщо він це зробить, то зрештою зробить щось дурне".

«Я T думаю, що можна сказати, що це справжня критика на Reddit», — сказав генеральний директор Blockchain Ніколас Кері CoinDesk щодо звинувачень у поганих процесах розробки.

Він додав:

«Я думаю, що кілька відвертих членів спільноти, які мають на кону багато свого особистого бренду, висувають деякі звинувачення. Ми прислухаємося до них. Ми знаємо, що нам потрібно зробити краще. У нас дуже сильна команда розробників».

«Ми створили величезну кількість програмного забезпечення, — продовжив він. «Ми весь час безпечно випускали випуски, у нас є керівники з контролю якості. У нас є команда безпеки. Справжнє повідомлення для спільноти полягає в тому, що ми будемо ставати кращими. Ми знаємо, що нам потрібно працювати краще. У той же час у нас є смирення, щоб робити те, що правильно, і піклуватися про наших користувачів, коли виникають проблеми».

CORE розробник Bitcoin Пітер Тодд також критикували компанію за те, що у своєму сховищі GitHub є лише репозиторій для ручного тестування, а не повністю автоматизований набір тестів.

Вищі керівники Blockchain не дали офіційної відповіді на твіт Тодда. Вони також не підтвердили наявність автоматизованого тестового набору в компанії, не обговорювали процес їх розробки чи не коментували його 30,5 млн доларів Серія A Угода про фінансування Blockchain завершена в жовтні.

У Redditors було критикували фірма за те, що не посилила питання безпеки з грошима. Джерела, близькі до компанії, в приватному порядку зазначили, що щойно профінансованій компанії потрібен час, щоб використати ці гроші та внести необхідні внутрішні зміни.

Делістинг Bitcoin.org

Все це сталося буквально через кілька днів після того, як організатори Bitcoin.org виключив Blockchain зі списку гаманців, які він надає користувачам Bitcoin , а коментатори припускають, що «його слід переглянути з розумними критеріями, принаймні такими ж вимогливими, як і інші гаманці».

в обговорення у Request GitHub щодо розміщення гаманця на сайті Bitcoin.org, менеджер сайту Saïvann Carignan виділив кілька факторів. По-перше, це помилки та втрати, яких було кілька, сказав він.

По-друге, резервне копіювання та безпека пароля. «[Blockchain] T застосував функції безпеки, які поступово стають стандартними для інших гаманців (наприклад, BIP32, випадкові парольні фрази, резервне копіювання під час налаштування, ротація адрес, 2FA за замовчуванням)», — сказав він.

Він також розкритикував компанію за недостатню прозорість і відсутність скидання вихідного коду програми, додавши:

"Чесно кажучи, кожна з цих проблем призвела б до блокування або затримки розміщення Blockchain, якби гаманець був поданий сьогодні. Відповідно, я вважаю, що логічним наступним кроком для стимулювання безпеки та зниження ризиків для користувача є підняття планки для Blockchain, як і для інших гаманців".

Бен Рівз, технічний директор Blockchain, опублікував відповідь у цій дискусії на GitHub, у якій розглядає скарги та обіцяє кілька змін. Це було схвалено іншими учасниками на основі того, що початкова критика стосувалася послужного списку служби Blockchain. Таким чином, консенсус залишався вилучити гаманець з біржі щонайменше на 60 днів, а після цього дозволити Blockchain повторно подати його.

Каріньян визнав скарги на те, що немає встановленої Політика для перерахування або видалення гаманців із Bitcoin.org, і відкрив іншу обговорення розробити стандартний процес.

«Ми готові знову подати заявку туди. Ми поважаємо їхнє рішення, але врешті-решт ми довго захищали свою позицію. Ми все ще єдина компанія з відкритим кодом», — сказав Кері, який додав, що компанія вносить зміни у своє програмне забезпечення, і людям слід очікувати «захоплюючих речей, які вийдуть на ринок у 2015 році».

Більш широка проблема FinTech

Блокчейн зробив свої помилки, але Емін Гюн Сірер, доцент кафедри інформатики Корнельського університету та експерт з питань безпеки Bitcoin , застеріг від полювання на відьом.

Він сказав:

«До їх честі вони зрозуміли, що їхні процеси були порушені, коли вони внесли деякі кадрові зміни всередині, щоб залучити інших людей, відповідальних за безпеку. Я мав приватні розмови з ними, і схоже, що це група людей, які дуже стараються виправляти недоліки, коли вони з’являються».

Ці проблеми з безпекою є ознакою ширшої проблеми у сфері Криптовалюта , попередив Сірер.

«Немає місця для найменшої помилки, і ми з’ясовуємо, що стандартні практики, які є нормальними в Силіконовій долині, неприйнятні у світі Bitcoin, оскільки на карту поставлено дуже багато», — сказав він, стверджуючи, що рівень збоїв у системі безпеки є високим у всій індустрії Bitcoin .

Онлайн сварка

Кері також назвав час для всієї цієї справи "неоптимальним". Це здається точним, враховуючи онлайн-сварку, яка спалахнула між керівниками Coinbase і Blockchain на початку цього місяця щодо безпеки Bitcoin гаманця, під час якої співробітники Blockchain критикували операційну модель Coinbase.

Все почалося з а Публікація на Reddit Чарлі Лі, творець Litecoin, який влаштувався на роботу в Coinbase 18 місяців тому. Лі, нині інженер-менеджер компанії, хотів встановити ясність щодо безпеки в централізованій службі гаманців.

Лі розповів, що сервіс зробив для безпеки своїх користувачів. Серед тих, які він перерахував, були стандартні запити на двофакторну автентифікацію (з використанням чогось, що у вас є, наприклад, телефону, на додаток до чогось, що ви знаєте, як-от пароль), якщо ви здійснюєте транзакції на суму понад 100 доларів США. Сервіс також включає сховище Bitcoin для своїх користувачів і зберігає 97% власних монет у холодних сховищах, сказав Лі (CoinDesk має покритий деякі з безпеки Coinbase раніше).

Уся ця інформація є частиною публічного архіву. Цікава частина була в ONE частині публікації Лі, в якій він порівнював безпеку CoinBase з безпекою Blockchain. ONE частина публікації (пізніше видалена) гласила:

«Однак протягом останнього року Coinbase продовжувала впроваджувати нові функції безпеки, тоді як безпека гаманця Blockchain залишилася точно такою ж і, можливо, стала гіршою».

Це призвело до гнівної відповіді Кеонна Родрігеса, керівника продуктів у Blockchain, який критикували Лі за те, що він переслідував власну мету, і порівняв його з «теньовим адвокатом, який женеться за каретою швидкої допомоги».

Серйозний підхід

Обзивки та критика нікому T допомагають, вважає Майкл Перклін, президент Bitcoinsultants і фахівець із безпеки Bitcoin . Перклін, який також є директором Bitcoin Alliance of Canada, має досвід роботи з безпекою в інших галузях.

«Мені подобаються точні дискусії, засновані на достоїнствах аргументів», — підсумував Перклін. «Але кожного разу, коли хтось обливає когось брудом, він повинен спочатку забруднитися».

Усі ці коментарі були до останньої катастрофи безпеки Blockchain. Що тепер про це скаже Кері? Він все ще прагне провести відмінності між двома моделями.

Кері сказав:

"Ми дуже поважаємо те, що робить Coinbase. Ми тут не для того, щоб починати з кимось змагання брудом. Ми хочемо мати компанію, яка в основному має довгострокове бачення успіху Bitcoin, дуже серйозно ставиться до захисту споживачів і піклується про споживачів, якщо є проблеми, але також продовжує використовувати некастодіальний підхід до управління ризиками".

Кері сказав, що компанія прагне активно залучати та слухати. "Ми сприймаємо всі ці речі надсерйозно. Ми тут на довгострокову перспективу", - підсумував він.

Бізнесмен балансує зображення через Shutterstock