Всередині «Bitcoin сховища»: чи може технічне виправлення назавжди заблокувати хакерів?

Cryptsy, Shapeshift, Gatecoin, Bitfinex.

Що спільного між усіма цими обмінами? Більш ніж 130 000 BTC ($73 818 875 на сьогодні ціни) були колективно вкрадені у них у 2016 році. Зломи та крадіжки на біржах Bitcoin трапляються настільки часто, що стає менш дивним, коли трапляються ONE .

Проте те, що рутина притупила вплив, T означає, що його T відчувається. Коли пограбування все ж відбувається, інвестори все одно стикаються значні втрати, негативні новини продовжують відганяти споживачів і нові тиски для підприємців, які хочуть випустити нові продукти.

Джеррі Бріто, виконавчий директор Coin Center, сказав CoinDesk , що подібні Заходи ускладнюють роботу його організації. За його словами, некомерційна дослідницька та адвокаційна група Криптовалюта змушена пояснювати відмінності між скомпрометованим посередником і безпекою CORE мережі.

Брито пояснив:

«Великі хакерські атаки чинять тиск на регулятори захисту прав споживачів, які ще T вживали заходів щодо цифрових валют, і цей тиск може зробити їх менш сприйнятливими до аргументів щодо легкого підходу».

І із заголовками, які свідчать про це сам Bitcoin зламаний, підприємцям і правозахисникам може й надалі бути важко навчати регуляторів.

Однак через незмінний характер транзакцій Bitcoin і публічний характер блокчейну Bitcoin продовжує залишатися привабливою мішенню для хакерів, шахраїв і злочинці. Блокчейн біткойнів дозволяє легко відстежувати, скільки Bitcoin зберігається на будь-якій біржі, і майже неможливо конфіскувати ці кошти, коли вони переходять у руки.

Хоча це не означає, що T було проведено досліджень щодо вирішення цих проблем.

Щоб мінімізувати вплив цих зломів, дослідники Малте Мезер, Іттай Еял і Емін Гюн Сірер запропонували пропозицію під назвою «сховище Bitcoin », яке, на їхню думку, ускладнить пограбування Bitcoin .

Сирер сказав CoinDesk:

«Коли злочинці прийдуть до думки, що крадіжки їм не зникнуть, ми можемо помітити зменшення спроб злому, націленого на біткоіни».

Всередині сховища

Основна функція пропозиції полягає в тому, щоб дати користувачам можливість повернути свої Bitcoin в разі злому.

Насправді це працює просто: користувач встановлює нову адресу для зберігання Bitcoin, яка отримала прізвисько «сховище». Це адреса, як і будь-яка інша адреса, за винятком ONE відмінності: користувачі не можуть швидко витратити біткойни, які там зберігаються.

Те, що користувач отримує, обмежуючи швидкість, з якою він може переміщувати ці біткойни, схоже на другий ключ, який команда назвала «ключем відновлення». У разі злому власник сховища може фактично скасувати транзакцію, повернувши відповідні біткойни назад власнику.

Коли користувач вирішує, що хоче витратити свої Bitcoin, він ініціює переказ. Потім вони повинні чекати заздалегідь визначений проміжок часу, встановлений користувачем під час створення сховища, щоб Bitcoin стали доступними для витрачання.

Саме в цей період можна використовувати ключ відновлення.

Припустімо, що хакер отримує доступ до гаманця та ініціює переказ Bitcoin. Їм доведеться чекати заздалегідь визначеного часу – який для кожної людини різний – перш ніж вони справді отримають доступ до Bitcoin.

Поки жертва використовує свій ключ відновлення протягом цього часу, хакер втрачає Bitcoin. І кожного разу, коли хакер знову намагається ініціювати переказ, користувач може використовувати свій ключ відновлення, таким чином унеможливлюючи отримання хакером доступу до Bitcoin.

Можливість скасовувати транзакції, однак, непокоїла багатьох ентузіастів цієї технології, оскільки Bitcoin був спеціально створений, щоб не дозволяти скасовувати транзакції.

У команди, яка розробила пропозицію щодо сховища, це не стосується. Завдяки їхньому рішенню, поки біткойни знаходяться в сховищах, їх не можна витрачати. Це заважає користувачеві купити щось за Bitcoin зі сховища, отримати товар і потім скасувати транзакції.

Це змусить користувачів спочатку вилучити свої Bitcoin (чекати певний проміжок часу), перевести кошти на «HOT гаманець», а потім купити товари.

Потрібна дія

Але хоча це може звучати як простий спосіб запобігти крадіжкам на біржах, негативні статті в ЗМІ та весь багаж, пов’язаний із цими Заходи, означають, що реалізувати цю пропозицію не так просто.

Оскільки Bitcoin був створений спеціально без скасування транзакцій, його CORE програмне забезпечення потрібно буде оновити, щоб забезпечити цю функцію. Зокрема, потрібно було б додати до коду CheckOutputVerify.

В а публікація в блозіРаніше цього року Еял пояснив, що, хоча м’який форк може впровадити зміни, максимальна безпека буде досягнута лише через хардфорк. М'якої вилки, за його словами, T недостатньо, оскільки інші засоби примусу можуть бути використані тими, хто прагне здійснювати незаконні дії.

Він написав:

«Хакер, який отримав особистий ключ Аліси, може підкупити майнера, щоб той прийняв транзакцію з використанням сховища за високу комісію, яка не дотримується угоди. Майнер мотивований прийняти транзакцію, і тоді всі інші майнери також її приймають».

Однак, навіть якщо Bitcoin CORE захоче реалізувати хардфорк для цієї мети (це крок, який залишається делікатною темою в спільноті), просто не вистачить ресурсів для цього.

Сірер сказав, що він обмінявся кількома повідомленнями з Грегом Максвеллом, ONE із провідних розробників CORE , після того, як зробив пропозицію. Реальність така, що команда була затоплена. Визнавши відповідь розумною, він стверджував, що настав час для CORE команди почати приділяти пріоритет безпеці.

Сірер сказав:

«Це правда, що масштабованість — це ахіллесова п’ята біткойна, але в Ахіллеса було дві п’яти, як і у Bitcoin — масштабованість і безпека».

Наразі команда працює над Request на отримання, який планується надіслати за кілька тижнів. Однак це лише перший крок.

Ускладнення безпеки

Не всі впевнені, що введення цієї зміни в код біткойна насправді створює безпечніше середовище, як вважають Сірер і команда.

Ерік Ломброзо, розробник Bitcoin CORE і генеральний директор компанії з безпеки блокчейнів Ciphrex, сказав, що технічна реалізація не складе труднощів. Використовуючи програмне розгалуження, нові коди можна легко додати до мови сценаріїв біткойна, пояснив він.

Але хоча він сказав, що ідея сховища була цікавою з академічної точки зору, він стверджував, що ця зміна значно ускладнює користувачам керування своїми Bitcoin.

Ломброзо пояснив, що користувач переходить від захисту своїх особистих ключів до захисту ключа сховища та ключа відновлення. Крім того, вони повинні постійно контролювати мережу, щоб бути в курсі злому та мати відповідні відповіді на випадки пограбування.

За словами Ломброзо, основною функцією Bitcoin CORE є перевірка та реле транзакцій і блоків. Основна увага зосереджена на забезпеченні безпеки мережі та протоколу в цілому, а не на тому, як захистити Bitcoin на рівні програми.

Ломброзо сказав:

«Найкращі інструменти для захисту ваших біткойнів — це спеціальні програми підпису, які працюють на спеціальному обладнанні».

Перегляд Bitfinex

Результатом є те, що обидві сторони зайшли в глухий кут у дискусіях.

Сірер упевнений, що якби Bitfinex мав змогу використовувати сховища, він міг би врятувати біржу від втрати мільйонів у біткойнах клієнтів. Але Ломброзо сказав, що пограбування Bitfinex також можна було легко уникнути, якби вони мали правильну Політика та процедуру.

Він пояснив, що якщо ці політики побудовані неналежним чином, можуть виникнути лазівки або тягарі, через які оператори облікових записів їх ігноруватимуть.

Він сказав:

«Найслабшою LINK в ланцюзі є не комп’ютери і не Крипто, а самі люди».

Те саме тепер можна сказати про тих, хто має повноваження реалізувати пропозицію.

Наразі злом централізованої біржі є простим способом для талановитого хакера піти з сотнями, тисячами або, у випадку з Bitfinex, понад 100 000 біткойнів. Впровадивши сховище для кожного свого користувача, Сірер і його команда вважають, що такі Заходи будуть менш імовірними.

Проте, оскільки Bitcoin CORE зосереджений на ретрансляції транзакцій і блоків, безпека Bitcoin фірм тепер покладатиметься на їхніх творців і користувачів, яким доведеться Навчання належні процедури, створити кращі політики та покращити навчання персоналу.

Зображення зламаного годинника через Shutterstock