Blockchain Adressen Sicherheit Kontroverse: 'Wir müssen besser machen'

Es war ein schreckliches paar Wochen für Bitcoin Briefträger Anbieter Blockchain.

Zuerst wurde die Produktfamilie des Unternehmens in einen Online-Spat mit einem Coinbase-Ingenieur bei Reddit. Dann wurde Blockchains Brieftasche aus Bitcoin gezogen. org, eine Informationsseite, die von bitcoin Core-Entwicklern und Community-Mitgliedern verwaltet wird, für schlechte Sicherheit.

Das Unternehmen hat sich öffentlich versprochen, Kunden nach einem Zufallszahlengenerator zu erstatten, der dazu führte, dass Hunderte von Adressen kompromittiert wurden. Weiterhin haben unbegründete Online-Berichte darauf hingewiesen, dass Bitcoins infolge des Problems gestohlen worden waren.

Also, was ist schief gelaufen und was wird als nächstes passieren?

Nehmen wir zuerst die neueste Ausgabe. Das Unternehmen war gezwungen, eine Sicherheits-Offenlegung auf seinem Blog und auf Reddit zu machen und zuzulassen, dass ein Entwicklungsfehler zu einem Problem mit der Generierung von privaten Schlüsseln geführt hatte. Private Schlüssel (effektiv die privaten Adressen, die verwendet wurden, um Bitcoin zu halten) wurden mit einem geringen Grad an Entropie erzeugt, was es ihnen leicht machte, Angreifer abzurufen.

Online-Blowback

Blockchain bot an, alle Kunden für verlorene Mittel zu erstatten, aber der Online-Blowback war immer noch riesig, mit Kommentatoren, die das Unternehmen von schlechter Entwicklungsarbeit und Managementproblemen vorwarfen.

Kommentatoren auf Bitcoin Talk kritisierte Blockchain für mehrere Dinge, einschließlich, dass Entwickler Push-Code in eine Produktionsumgebung.

Ein Reddit-Kommentator sagte:

"Das ist ernsthaft einfaches Zeug. Web-Geschäft 101. Ein Entwickler sollte buchstäblich nicht die Möglichkeit haben, etwas in der Nähe der Produktion zu setzen, denn wenn sie es tun, werden sie schließlich etwas Dummes tun. "

Er fügte hinzu:

"Ich denke, ein paar freimütige Community-Mitglieder, die eine Menge ihrer eigenen Marke auf dem Spiel haben, machen einige Anschuldigungen. Wir hören denen zu. Wir wissen, dass wir es besser machen müssen. Wir haben ein sehr starkes Entwicklungsteam. "

" Wir haben eine riesige Menge an Software gebaut ", fuhr er fort." Wir haben die ganze Zeit sicher entlassen, wir haben Qualitätssicherung. Wir haben ein Sicherheitsteam. Die wirkliche Botschaft an die Gemeinde ist, dass wir besser werden werden. Wir wissen, dass wir einen besseren Job machen müssen. Gleichzeitig haben wir die Demut zu tun, was richtig ist und kümmert sich um unsere Benutzer, wenn es Probleme gibt. "

Core Bitcoin-Entwickler Peter Todd kritisierte auch das Unternehmen für nur mit einem manuellen Test-Repository in seinem GitHub-Repository als eine vollautomatische Test-Suite.

Die Führungskräfte von Blockchain haben keine formale Antwort auf den Tod von Todd gegeben.Weder haben sie bestätigt, dass es eine automatisierte Test-Suite in der Firma, diskutieren ihre Entwicklung oder Kommentar über die $ 30. 5m Serie A Finanzierung Deal Blockchain im Oktober abgeschlossen.

Redditoren hatten die Firma kritisiert, weil sie die Sicherheitsprobleme nicht mit dem Geld verschärft hätten. Quellen in der Nähe des Unternehmens privat darauf hingewiesen, dass es braucht Zeit für ein frisch finanziertes Unternehmen, um dieses Geld zu verwenden und die notwendigen internen Änderungen zu machen.

Die Bitcoin org delisting

All dies geschah nur wenige Tage nach den Organisatoren von Bitcoin. org nahm Blockchain aus der Liste der Brieftaschen, die es für bitcoin Benutzer bietet, mit Kommentatoren, die darauf hindeuten, dass "es sollte mit vernünftigen Kriterien mindestens so anspruchsvoll wie andere Brieftaschen revisited".

In der Diskussion innerhalb der GitHub-Pull-Anfrage über die Liste der Brieftasche auf Bitcoin. org, standortbewahrer Saïvann Carignan mehrere Faktoren hervor. Das erste war Bugs und Verluste, von denen es mehrere gab, sagte er.

Die zweite war die Backup- und Passwortsicherheit. "[Blockchain] hat keine Sicherheitsmerkmale übernommen, die in anderen Brieftaschen langsam werden (zB BIP32, zufällige Passphrasen, Backup auf Setup, rotierende Adressen, 2FA standardmäßig) sagte er.

Er kritisierte auch die Firma, weil sie nicht transparent genug war, und den Quellcode der App nicht zurückzusetzen, und fügte hinzu:

"Um fair zu sein, hätte jede dieser Ausgaben blockiert oder verzögert, wenn die Brieftasche eingereicht wurde Ich denke, der logische nächste Schritt, um die Sicherheit zu steigern und die Risiken für den Benutzer zu reduzieren, ist, die Bar für Blockchain wie andere Brieftaschen zu erheben. "

Ben Reeves, Blockchains CTO, gab eine Antwort in der GitHub-Diskussion über die Beschwerden und versprach mehrere Änderungen, die von den anderen Teilnehmern gelobt wurden, auf der Grundlage, dass die anfänglichen Kritikpunkte die Erfolgsbilanz des Blockchain-Dienstes betrafen, so dass der Konsens die Geldbörse für mindestens 60 Tage und die Lassen Sie Blockchain es nachträglich übermitteln.

Carignan erkannte Beschwerden, dass es keine festgelegte Politik für die Auflistung oder Delisting Brieftaschen von Bitcoin gab. org, und eröffnete eine weitere Diskussion, um einen Standardprozess zu entwickeln.

"Wir sind bestrebt, dort zu reparieren, wir respektieren ihre Entscheidung, aber letztlich haben wir eine lange Verteidigung für unsere Position gemacht. Wir sind immer noch die einzige Open-Source-Firma", sagte Cary, der fügte hinzu, dass das Unternehmen Änderungen vornimmt zu seiner Software, und dass die Leute erwarten sollten "spannende Dinge kommen auf den Markt im Jahr 2015".

Ein breiteres FinTech-Problem

Blockchain hat seine Fehler gemacht, aber Emin Gün Sirer, ein Associate Professor für Informatik an der Cornell University und ein Experte für Bitcoin Sicherheitsprobleme, warnte vor einer Hexenjagd.

Er sagte:

"Zu ihrem Guthaben haben sie erkannt, dass ihre Prozesse gebrochen waren, als sie irgendwelche Personaländerungen intern machten, um verschiedene Personen zur Sicherheit zu bringen. Ich hatte private Gespräche mit ihnen und es hört sich so an eine Menge Leute, die sehr bemüht sind, die Fehler zu knacken, wie sie erscheinen."

Diese Sicherheitsprobleme sind ein Zeichen für ein breiteres Problem im Krypto-Raum, gewarnt Sirer.

" Es gibt keinen Platz für die kleinste Schraube, und wir finden heraus, dass Standard-Praktiken, die normal sind in Silicon Valley sind in der bitcoin-Welt unannehmbar, weil es so viel auf dem Spiel steht ", sagte er und argumentierte, dass die Rate der Sicherheitsausfälle in der Bitcoin-Industrie hoch ist.

Online spat

Cary nannte auch das Timing für diese ganze Affäre" suboptimal "Das scheint genau zu sein, angesichts einer Online-Spat, die zwischen Coinbase und Blockchain Führungskräfte Anfang dieses Monats über Bitcoin Brieftasche Sicherheit, in dem Blockchain Mitarbeiter kritisiert Coinbase Operationsmodell brach.

Alles begann mit einem Reddit Post von Charlie Lee, die Schöpfer von litecoin, der vor 18 Monaten einen Job bei Coinbase einnahm Lee, jetzt Ingenieur-Manager bei der Firma, wollte den Rekord über die Sicherheit beim zentralisierten Brieftaschen-Service setzen.

Lee beschrieb, was der Service für die Securit getan hat y seiner Benutzer. Unter denjenigen, die er aufgeführt hat, waren Standardanforderungen für die Zwei-Faktor-Authentifizierung (mit etwas, das Sie haben, wie ein Telefon, zusätzlich zu etwas, was Sie wissen, wie ein Passwort), wenn Transaktionen über $ 100. Der Service beinhaltete auch ein Bitcoin-Gewölbe für seine Benutzer und speichert 97% seiner eigenen Münzen in der kalten Lagerung, sagte Lee (CoinDesk hat einige von Coinbases Sicherheit vorher abgedeckt).

Alle diese Informationen sind Teil des öffentlichen Rekords. Der interessante Teil kam in einem Teil von Lees Post, in dem er CoinBases Sicherheit mit dem von Blockchain verglich. Ein Teil des Posten (später entfernt) lautete:

"Im vergangenen Jahr hat Coinbase jedoch neue Sicherheitsmerkmale eingeführt, während die Sicherheit der Blockchain-Brieftasche genau gleich geblieben ist und sich wohl verschlechtert hat. "

Dies führte zu einer wütenden Riposte von Keonne Rodriguez, Produktleiter bei Blockchain, der Lee kritisierte, um seine eigene Agenda zu jagen und ihn mit einem" schattigen Anwalt, der einen Krankenwagen verfolgte "verglich.

Ein ernsthafter Ansatz

Namensaufruf und Kritik hilft niemandem, schlug Michael Perklin Präsident von Bitcoinsultants und ein Spezialist für Bitcoinsicherheit vor. Perklin, auch Direktor der Bitcoin Alliance of Canada, hat einen Hintergrund in Sicherheit in anderen Branchen.

"Ich genieße genaue Diskussionen auf der Grundlage der Vorzüge des Arguments", schloss Perklin. "Aber wann immer jemand einen anderen Schlamm bekommt, müssen sie sich zuerst schmutzig machen. "

Diese Kommentare sind vor dem letzten Sicherheits-Debakel von Blockchain aufgetreten. Was hat Cary jetzt darüber zu sagen? Er ist immer noch bemüht, Unterscheidungen zwischen den beiden Modellen zu ziehen.

Cary sagte:

"Wir haben viel Respekt für das, was Coinbase macht. Wir sind nicht hier, um einen Schlammwurf-Wettkampf mit irgendjemandem zu beginnen. Wir wollen ein Unternehmen haben, das grundsätzlich eine langfristige Vision für den Erfolg von Bitcoin hat und den Verbraucherschutz sehr ernst nimmt und sich um die Verbraucher kümmert, wo es Probleme gibt, aber auch weiterhin einen nicht-custodialen Ansatz zur Risikomanagement einnimmt ."

Cary sagte, dass die Firma begierig war, aktiv zu engagieren und zuzuhören. "Wir nehmen all diese Dinge super-ernst. Wir sind schon lange hier ", schloss er.

Geschäftsmann Balancing Bild über Shutterstock

Der Führer in Blockchain News, CoinDesk ist eine unabhängige Medien-Steckdose, die für die höchsten journalistischen Standards strebt und hält durch eine strenge Reihe von redaktionellen Politik. Haben Sie Neuigkeiten oder einen Story-Tipp, um unsere Journalisten zu schicken? Kontaktieren Sie uns unter news @ coindesk. com