Blockchain Adresser Security Controversy: Vi skal gøre det bedre | DK.democraziakmzero.org

Blockchain Adresser Security Controversy: Vi skal gøre det bedre

Blockchain Adresser Security Controversy: Vi skal gøre det bedre

Det har været en forfærdelig par uger til Bitcoin tegnebog udbyder Blockchain.

Først virksomhedens produkt bly kom ind et online spyttede med en Coinbase ingeniør på Reddit. Derefter blev Blockchain tegnebog trukket fra Bitcoin.org, en oplysende hjemmeside forvaltes af Bitcoin core udviklere og medlemmer af fællesskabet, for dårlig sikkerhed.

Virksomheden befandt sig offentligt lover at tilbagebetale kunder efter et tilfældigt tal generator fejl, der førte til hundredvis af adresser bliver kompromitteret. Endvidere havde udokumenterede online rapporter suggestedthat Bitcoins blevet stjålet som følge af problemet.

Så hvad gik galt, og hvad der vil ske næste?

Lad os tage det seneste nummer først. Firmaet blev tvunget til at foretage en sikkerhed disclosureon sin blog og på Reddit, indrømmer, at en udvikling fejl havde ført til et problem med den generation af private nøgler. Private nøgler (effektivt de private adresser, der bruges til at holde Bitcoin) blev genereret med en lav grad af entropi, hvilket gør dem nemme for angribere at hente.

Online blowback

Blockchain tilbudt at refundere alle kunder for tabte midler, men de online blowbackwas stadig enorme, med commenters beskylder selskab med dårlig udviklingsarbejde og ledelsesmæssige problemer.

Commenters på Bitcoin Talk kritiseret Blockchain for flere ting, herunder at lade udviklere skubbe kode til et produktionsmiljø.

Én Reddit kommentator sagde:

"Det er alvorligt simpel ting. Web business 101. En udvikler skal bogstaveligt talt ikke har evnen til at sætte noget nær produktion, for hvis de gør de i sidste ende vil gøre noget dumt."

"Jeg tror ikke, det er korrekt at sige, at dette er en reel kritik på Reddit," Blockchain CEO Nicolas Cary fortalte CoinDesk, om beskyldninger om dårlige udviklingsprocesser.

Han tilføjede:

"Jeg tror, ​​et par åbenhjertige medlemmer af fællesskabet, der har en masse af deres eget personlige brand på spil gør nogle beskyldninger. Vi lytter til dem. Vi ved, at vi er nødt til at gøre det bedre. Vi har en meget stærk udvikling team."

"Vi har bygget en enorm mængde af software," fortsatte han. "Vi har udgivet sikkert hele tiden, vi har kvalitetssikring fører. Vi har et sikkerhedsteam. Den virkelige budskab til samfundet, er, at vi kommer til at få det bedre. Vi ved, at vi er nødt til at gøre et bedre job. Samtidig har vi den ydmyghed at gøre, hvad der er rigtigt og tage sig af vores brugere, når der er problemer."

Core Bitcoin udvikler Peter Todd også criticisedthe selskab for kun at have en manuel test repository i sin GitHub repository, snarere end en fuldt automatiseret test suite.

Blockchain ledende medarbejdere tilbød ikke et formelt svar på Todds tweet. Heller ikke de bekræfter, at der var en automatiseret test suite i virksomheden, diskutere deres udviklingsproces eller kommentere om $ 30,5 serien Afunding handelsbeslutninger Blockchain afsluttet i oktober.

Redditors havde criticisedthe fast for ikke at stramme sikkerhedsspørgsmål med pengene. Kilder tæt på virksomheden privat påpeget, at det tager tid for en frisk finansieret virksomhed at bruge disse penge og foretage de nødvendige interne ændringer.

Den Bitcoin.org afnotering

Alt dette skete blot få dage efter, at arrangørerne af Bitcoin.orgtook Blockchain off listen over tegnebøger, at det giver for Bitcoin brugere, med commenters tyder på, at "det skal tages op igen med rimelige kriterier mindst lige så krævende som andre tegnebøger".

I discussionwithin den GitHub pull anmodning vedrørende tegnebogen notering på Bitcoin.org, stedet vedligeholder Saïvann Carignan fremhævede flere faktorer. Den første var fejl og tab, som der har været flere, siger han.

Den anden var backup og adgangskodesikkerhed. "[Blockchain] har ikke vedtaget sikkerhedsfunktioner, som er langsomt ved at blive standard i andre tegnebøger (f.eks BIP32, tilfældige adgangskoder, backup på opsætning, roterende adresser, 2FA som standard)," sagde han.

Han kritiserede også virksomheden for ikke at være gennemsigtig nok, og ikke nulstille den app kildekode og tilføjer:

"For at være fair, hver af disse spørgsmål ville have blokeret eller forsinket notering Blockchain hvis tegnebogen blev forelagt i dag. Derfor tror jeg det næste logiske skridt at tilskynde sikkerhed og reducere risikoen for brugeren er at hæve standarden for Blockchain ligesom andre tegnebøger ".

Ben Reeves, Blockchain CTO, postet et svar i at GitHub diskussion fat på de klager og lovende flere ændringer. Dette blev rost af de andre deltagere, på det grundlag, at de indledende kritik vedrørte track record af Blockchain tjeneste. Så den konsensus forblev at afnotere tegnebogen i mindst 60 dage, og at lade Blockchain sende det igen efter det.

Carignan erkendte klager, at der ikke var nogen sæt politik til notering eller afnotering tegnebøger fra Bitcoin.org, og åbnet en anden discussionto udvikle en standard proces.

"Vi er ivrige efter at sende der. Vi respekterer deres beslutning, men i sidste ende har vi lavet en langvarig forsvar for vores holdning. Vi er stadig den eneste open source virksomhed," siger Cary, der tilføjede, at selskabet er at foretage ændringer i sin software , og at folk skal forvente "spændende ting der kommer på markedet i 2015".

En bredere FinTech problem

Blockchain har gjort sine fejltagelser, men Emin Gün Šírera, lektor i datalogi ved Cornell University og ekspert i Bitcoin sikkerhedsspørgsmål, advarede mod en heksejagt.

Han sagde:

"Til deres kredit, de har indset, at deres processer blev brudt, når de lavede nogle personale ændringer internt at bringe forskellige mennesker der har ansvaret for sikkerheden. Jeg har haft private samtaler med dem, og det lyder som det er en flok af mennesker, der forsøger meget hårdt at patch fejlene som de ser ud."

Disse sikkerhedsproblemer er et tegn på et større problem i cryptocurrency rum, advarede Šírera.

"Der er ikke plads til den mindste screwup, og vi er at finde ud af, at standard-praksis, der er normale i Silicon Valley er uacceptable i Bitcoin verden, fordi der er så meget på spil," sagde han og hævder, at antallet af sikkerhedsmæssige fejl er højt på tværs af Bitcoin industrien.

Online spyttede

Cary også kaldet timingen for hele denne affære "suboptimal". Det virker præcis, givet en online spyttede, der brød ud mellem Coinbase og Blockchain ledere tidligere på måneden i løbet af Bitcoin tegnebog sikkerhed, hvor Blockchain personale kritiserede Coinbase driftsmodel.

Det hele startede med en Reddit postby Charlie Lee, skaberen af ​​litecoin, der tog et job på Coinbase18 måneder siden. Lee, nu ingeniør manager i virksomheden, ønskede at indstille posten lige om sikkerheden ved den centraliserede tegnebog service.

Lee beskrev, hvad tjenesten har gjort for sikkerheden for sine brugere. Blandt dem, han opført var standard anmodninger om to-faktor-autentificering (ved hjælp af noget, du har, såsom en telefon, der ud over noget, du ved, ligesom en adgangskode), hvis lave transaktioner over $ 100. Tjenesten også inkluderet en Bitcoin hvælving for sine brugere, og gemmer 97% af sine egne mønter i kølerum, sagde Lee (CoinDesk har coveredsome af Coinbase sikkerhed før).

Alle disse oplysninger er en del af den offentlige rekord. Den interessante del kom i den ene del af Lees indlæg, hvor han sammenlignede CoinBase sikkerhed som i Blockchain. Den ene del af posten (senere fjernet) læses:

"I løbet af det seneste år dog Coinbase holdt indføre nye sikkerhedselementer mens Blockchain pung sikkerhed har opholdt sig nøjagtig det samme, og velsagtens blev værre."

Dette førte til en vred modangreb Keonne Rodriguez, produkt føring Blockchain, der criticisedLee til at jagte sin egen dagsorden, og sammenlignede ham til "en lyssky advokat jagter en ambulance".

En seriøs tilgang

Navn ringer og kritisere hjælper ikke nogen, foreslog Michael Perklin formand for Bitcoinsultants, og en specialist i Bitcoin sikkerhed. Perklin, også en direktør i Bitcoin Alliance of Canada, har en baggrund i sikkerhed inden andre brancher.

"Jeg nyder præcise diskussioner baseret på berettigelsen af ​​argumentet," konkluderede Perklin. "Men når nogen kaster mudder på en andens, de har til at få sig selv beskidte først."

Disse bemærkninger alle fandt sted før Blockchain nyeste sikkerhed misere. Hvad Cary har at sige om det nu? Han er stadig ivrig efter at sondre mellem de to modeller.

Cary sagde:

"Vi har stor respekt for, hvad Coinbase gør. Vi er ikke her for at starte en mudder-kaste konkurrence med nogen. Vi ønsker at have en virksomhed, der dybest set har en langsigtet vision for succes i Bitcoin, og tager forbrugerbeskyttelse meget alvorligt, og tager sig af forbrugerne, hvor der er problemer, men fortsætter også med at tage en ikke-frihedsberøvende tilgang til risikostyring."

Cary sagde, at selskabet var ivrige efter at engagere sig aktivt og lytte. "Vi tager alle disse ting super-alvorligt. Vi er her for på lang sigt," konkluderede han.

SecurityBlockchain

Relaterade nyheter


Post Blockchain

BBVA: Blockchain Tech kunne erstatte centraliseret finanssystem

Post Blockchain

Forskere tackler morgendagens Blockchain-problemer med Bitcoin-NG

Post Blockchain

Bitcoin i overskrifterne: Argentinas Frelser eller Antikrists tegn?

Post Blockchain

Jeg er virkelig i Blockchain. Jeg blokkerer alt!

Post Blockchain

Kan Blockchain Technology Stem Government Corruption?

Post Blockchain

Directory.io Prank bevirker Bitcoin Protocols styrke

Post Blockchain

Bitcoin, Stellar og Sidechains Feature på Future of Money Summit

Post Blockchain

BlockSign benytter Block Chain til at bekræfte underskrevne kontrakter

Post Blockchain

Bitcoin Comic går på salg efter succesfulde crowdfunding

Post Blockchain

Analytics Service har til formål at være Gold Standard for Bitcoin Data

Post Blockchain

Bitcoin i overskrifterne: Blockchain Good, Bitcoin Bad

Post Blockchain

Bloker for at frigive første open source kode til sidekæder