* Как можно было избежать кражи с Bitfinex (08.08.2016) go

Bitfinex, одна из крупнейших бирж биткоина, была взломана, что привело к потере 119756 биткоинов, что составляет примерно $60 млн. Для понимания масштаба это можно сравнить с крупнейшим ограблением реального банка. Оно произошло в городе Данбар, где в 1997 г. грабители взломали бронированный грузовик и похитили $28 млн. Сейчас же среди налетчиков кража биткоинов становится куда более популярным и безопасным занятием.

В контексте

Многим эта кража биткоинов представляется самой масштабной в истории. Они ошибаются. Уже в этом году была взломана биржа Shapeshift, а незадолго перед ней – биржа Cryptsy. И, конечно, многим памятна история со взломом Mt.Gox. Взламывали и Poloniex, а также множество других бирж. Если составить список крупных краж биткоинов – поверьте, он будет длинным.

В результате таких преступлений возникает разочарование, чувство краха ожиданий и ощущение недостаточной надежности всей этой инфраструктуры. Дело здесь даже не в биткоине –  мы видели, что хакеры могут взломать не только крупные банки, но даже центробанки. Однако банки могут отследить взломщиков и отменить транзакции, а вот необратимость транзакций биткоина делает биржи цифровой валюты легкой добычей. Истории, подобные той, когда человек потерял все свои накопления за 12 лет, просто разрывают сердце.

Кто виноват?

Пока пепелище Bitfinex еще дымится, едва ли получится установить связную картину этого ограбления. Несомненно, некоторые поспешат обвинить государственных регуляторов, исходя из того, что правительство США вмешивалось в операции биржи Bitfinex и штрафовало ее.

Но, насколько мне известно, вмешательство правительства было чутким. Они оштрафовали биржу только на $75 тыс. – эквивалент трехмесячного жалованья разработчика, – так как биржа поленилась выполнить элементарные процедуры.

И для начала они удостоверились, что биржа хранит средства на главном счету, а не том, что предназначался для клиентов и был снабжен мультиподписью. По существу, регуляторы лишь выяснили, каким образом хранятся деньги. Это все, что им было нужно, в вопросы безопасности они не особо вникали – это целиком и полностью находилось в ведении Bitfinex.

Не стоит забывать и о том, что Bitfinex перешла на BitGo, где можно хранить приватные ключи пользователей, а для перевода средств требуется подтверждение (вторая подпись).

Поэтому можно предположить, что хакер заполучил закрытые ключи Bitfinex, чтобы через BitGo подписать вывод денег. Вероятно, для этого им пришлось заодно обойти и лимиты BitGo на дневное снятие денег.

Вообще грабеж бирж биткоина – отличная вещь, теперь все можно сделать чисто. Вам не нужно выглядеть как придурок с чулком на голове, не требуется глупая пушка и мешок для денег. Не придется брать заложников, стрелять в охранников и прыгать в деловом костюме с аэроплана. Подростки, подписанные на новейшие рассылки по кибер-безопасности, легко совершают эти ограбления прямо из комнаты общежития. Есть еще тысячи хакерских групп такого уровня, что их специалисты могут делать это просто-напросто играючи.

И что теперь делать?

Да, кажется, пора начинать с этим бороться. Тот факт, что сделки в биткоинах необратимы, при торговле за цифровую валюту бывает крайне важен. Ведь нередко вы делаете покупки у продавцов, которым не доверяете, а торговля не санкционирована государством. При таких условиях биткоину ничего не остается, как быть надежным, иначе он быстро растеряет свою с таким трудом заработанную репутацию.

Один из разработчиков биткоина предлагал преобразовать программный код блокчейна таким образом, будто никакого ограбления не было. И действительно, из-за большой централизованности майнинга подобная возможность существует. Но идея не выдерживает критики, поскольку математика на стороне вора. Не подлежит сомнению, что операциями биткоина управляют майнеры и можно их подкупить, чтобы они изменили цепочку транзакций. Однако вор при таком раскладе точно так же может подкупить майнеров.

Другие предлагали заключить в подобной ситуации сделку с хакером. Но такой вариант больше подходит на жест отчаяния. Глупо пытаться подействовать на кого-то, над кем вы не имеете власти. К тому же как-то хакеру уже предлагали сделку и он даже согласился… только все равно он в итоге оказался под судом. Кто же захочет повторять что-нибудь подобное еще раз?

Реальное решение

Похоже, нам требуется разработать схему, которая бы не отменяла такое свойство биткоина, как необратимость его транзакций, но при этом бывший владелец в случае несанкционированного доступа к своему кошельку мог бы получить свои средства назад.

Но как могла бы работать такая схема? Ведь кажется очевидным, что здесь имеется фундаментальное противоречие: поскольку нет никакого определения «взлома», то получится, что действие механизма отмены одной сделки приведет к нарушению необратимости всех остальных.

И тем не менее решение существует.

Предположим, я определяю, что часть моих фондов будет находиться на особенном, холодном хранении. И, чтобы заплатить за что-либо, мне нужно будет переместить свои средства из холодного хранилища в обычный кошелек. Предположим, что этот процесс занимает один день.

При этом продавец никак не может принять платеж непосредственно из хранилища. Он пользуется переводами из кошелька, и транзакции совершаются обычным, т. е. необратимым, способом. Но теперь представим, что особенностью этих хранилищ является то, что у них не один ключ, а два: один для доступа к хранилищу и перевода средств с него в обычный кошелек; а другой ключ, который можно назвать, например, ключом восстановления, используется лишь в том случае, если вы заметили взлом и вывод средств на счета хакера. И после этого у вас есть целые сутки, чтобы отменить этот вывод и вернуть свои средства.

Заметим также, что с подобной сделкой вы никак не сможете одурачить продавца и обернуть вспять реальную транзакцию. Все, что вы можете сделать с помощью ключа, – это вернуть свои деньги, если их попытаются украсть. Мне кажется, это довольно действенная схема и есть смысл над ней работать.

И мы – Малте Мозер, Итай Эйял и я – уже работаем в этом направлении. Мы подробно рассматривали эту идею еще в феврале прошлого года. Однако сообщество, поглощенное дебатами о размере блока, и не подумало обратить внимание на идею хранилища. Все так сконцентрировались на размере блока, словно это Ахиллесова пята. Но не будем забывать, что у Ахиллеса было две пятки. Так же обстоит и с биткоином: безопасность ему нужна не меньше, чем размер блока. Хранилища удобны еще и потому, что будут действовать даже в случае, если кражу совершат сами сотрудники биржи!

Я  сочувствую всем, потерявшим средства на Bitfinex. Однако мы тем более не должны допустить самой возможности дальнейших краж, и потому нам следует принять соответствующие меры, на которые мы и постарались обратить ваше внимание.


Источник: http://coinspot.io/analysis/kak-mozhno-bylo-izbezhat-krazhi-s-bitfinex/

*Биткоин бесплатно получить

*Купить, продать, обменять Биткоин
Поделиться:
[vk] [fb] [tw] [ok] [mr] [lj] [viber] [whatsapp] [telegram] [skype]
Новости биткойн и блокчейн-технологий
*Современные валюты, основанные на времени: от Time Bank до ChronoBank (16.11.2016) go
Как известно, время является абсолютно ограниченным ресурсом. Даже максимально возможное количество биткоинов может быть изменено, если с этим согласится сеть, но количество часов в сутках увеличено быть не может. Именно поэтому время является наиболее ценным ресурсом для любого человека… Подробнее ›
*Бизнес-инкубатор ВШЭ объявил о втором наборе программы HSE{Pro}Fintech (15.11.2016) go
Бизнес-инкубатор Высшей школы экономики объявил об открытии второго набора программы HSE{Pro}Fintech для финтех-проектов в сфере финансов, блокчейна, систем инвестирования и т.д. Для участия в программе приглашаются проекты, требующие отраслевую экспертизу, бизнес-экспертизу, а также стартапы… Подробнее ›
*Криптовалютный дропшиппинг-сервис Shopawl начал работу с Aliexpress (15.11.2016) go
Криптовалютный торговый сервис Shopawl, работающий по системе дропшиппинг (схема торговли, при которой вы продаете изделия фирмы-поставщика, которая сама пересылает их покупателю от вашего имени, а вы только принимаете от покупателя деньги), добавил в список доступных магазинов крупнейшую китайскую торговую площадку Aliexpress… Подробнее ›
*Стартовало ICO игры в кости на блокчейне Ethereum vDice (15.11.2016) go
Сегодня, 15 ноября, проект vDice начал ICO, которое продлится до 15 декабря этого года. Проект vDice представляет собой первый коммерческий гемблинг-проект на основе Ethereum, основным отличием которого является отсутствие серверов, учетных записей и депозитов. Весь игровой процесс проходит в блокчейне Ethereum и не может контролироваться разработчиками либо иными… Подробнее ›
*Компания Deloitte и стартап SETL выпустят бесконтактную платежную карту, использующую блокчейн (15.11.2016) go
Аудиторская компания Deloitte и лондонский финтех-стартап SETL объединили усилия с целью выпуска бесконтактных платежных карт, которые будут использовать блокчейн для осуществления и обработки розничных платежей. Об этом сообщает агентство Reuters. Как сообщается, продукт был успешно протестирован с привлечением более 200 пользователей и будет запущен в коммерческое производство в 2017 году… Подробнее ›
*Банк из Таиланда KBank и команда IBM совместно работают над блокчейн проектом (15.11.2016) go
Kasikornbank (Kbank) из Таиланда привлекли IBM, чтобы эта корпорация помогла им построить сеть на основе блокчейна, призванную уменьшить сложность их бизнеса корпоративного кредитования. Используя облачную платформу IBM, которая называется Bluemix, банк планирует создать бизнес сеть на основе блокче… Подробнее ›
*Блокчейн – Swift: больше, чем дружба? (15.11.2016) go
Такая организация, как Swift, может сыграть значительную роль в будущем блокчейна, говорит Оливер Буссман. В прошлом месяце Оливер Буссман посетил конференцию Sibos в Женеве, посвящённой технологии распределенного реестра (Distributed Ledger Technology, DLT) и информационной безопасности. Как будет … Подробнее ›
*Крупнейший в Италии оператор такси начал принимать биткоины (15.11.2016) go
Компания из Австралии, которая занимается резервированием отелей, разработала для своих задач систему на основе блокчейна в партнёрстве с Microsoft. Используя в качестве основы платформу Azure от технологического гиганта Microsoft, Webjet создали то, что они описали как способ «создания независимых … Подробнее ›
*Команда DayLight провела ребрендинг проекта (15.11.2016) go
Российский философ-футуролог Александр Болдачев сообщил о ребрендинге проекта DayLight, членом команды которого он является. Это заявление  было сделано на странице Александра в социальной сети Facebook. Как сообщается, помимо изменения названия с DayLight на eGaaS - electronic Government as a Service на сайте проекта были опубликованы Манифест eGaaS и White Paper… Подробнее ›
*Прокуратура США выдвинула очередное обвинение в деле биржи Coin.mx (15.11.2016) go
Прокуратура США выдвинула обвинения последнему подозреваемому в рамках продолжающегося расследования дела биржи Coin.mx, которая, как считает обвинение, причастна ко взлому по меньшей мере девяти крупных финансовых институтов, включая JPMorgan Chase & Co. Рикардо Хилл был арестован в прошлом месяце в штате Флорида и обвинен в ведении незаконной деятельности… Подробнее ›
Информация о децентрализованной цифровой валюте Биткоин в социальных сетях:

* Купить, продать, обменять Bitcoin, Litecoin, Ethereum, QIWI, WebMoney, YooMoney, PerfectMoney, Privat24

Каталог сайтов