Уважаемые пользователи Голос!
Сайт доступен в режиме «чтение» до сентября 2020 года. Операции с токенами Golos, Cyber можно проводить, используя альтернативные клиенты или через эксплорер Cyberway. Подробности здесь: https://golos.io/@goloscore/operacii-s-tokenami-golos-cyber-1594822432061
С уважением, команда “Голос”
GOLOS
RU
EN
UA
cryptomafia
7 лет назад

[Криптовалюта Shift] Обновление Сообщества о Взломе Персонального Устройства

ip.bitcointalk.org3.png

Обновление Сообщества о Взломе Персонального Устройства

Will L. и Ralf S. в Новостной рассылке 20-го февраля 2018 года

Обновление сообщества о Взломе Персонального Устройства Члена Команды Shift 4 февраля 2018 года:
Расследование, Выводы, и предприятие Настоящих и Будущих мер

Уважаемое Cообщество Shift,

Мы хотим в первую очередь поблагодарить вас за вашу массовую поддержку, в том числе за предложения пожертвований разработчику, чьи персональные устройства были взломаны, что привело к потере его личных Bitcoin и altcoin кошельков. Он ответил, что предложения пожертвований для него лично трогательны и очень ценятся, но не обязательны. Если вы хотите поддержать Shift, он предложил вам внести свой вклад в кошельки для пожертвований проекта: 4243859925617584795S для пожертвований на разработку, или 16956236695858785300S для пожертвований на маркетинг.

Цель этого обновления сообщества - объяснить наше расследование, выводы и настоящие и будущие меры, которые устраняют риск взлома персонального устройства члена команды, продвигаясь вперед. Результаты, вкратце, таковы:

  1. Благодаря быстрым действиям наших сетевых делегатов и команды разработчиков, децентрализованное, демократическое решение выполнить откат было сделано с полным большинством голосов, и это спасло более 99,5% токенов Shift, которые стали объектом нападения при взломе.

  2. Взлом был результатом компрометации данных персонального устройства разработчика, что позволило хакеру записать кодовые фразы кошелька и никоим образом не было результатом каких-либо сбоев в безопасности или уязвимости в программном обеспечении Shift или блокчейна - безопасность Shift и всех кошельков Shift, по-прежнему столь же железобетонна, как и прежде.

  3. После тщательного аудита наших процедур обработки внутренних средств проекта мы создали новые протоколы, которые делают невозможным повторение этого случая.

Мы понимаем, что реальность мира заключается в том, что, когда любой проект или предприятие достигает большего успеха, он становится более привлекательной целью для кражи. Поэтому мы благодарны за то, что в результате этого инцидента мы смогли продолжить работу без существенного урона финансам проекта, гораздо более сильные и более подготовленные к будущему. В этой связи мы особенно рады, что по мере роста проекта мы продолжили наращивать нашу базу талантов, включающую в себя экспертов высшего уровня, таких как Isabella, чьи навыки и опыт полученый в качестве системного архитектора Lisk были полезны в формулировании и оценке наших новых внутренних процедур для доступа к кошелькам проекта.

Чтобы помочь сообществу понять, что произошло, мы разделили информацию следующим образом:

Инцидент: 4 февраля 2018 года все кошельки с криптовалютами, ключи которых хранились у нашего разработчика, были опустошены кражей. Это были его личные кошельки, а также кошельки проекта Shift. Мы определили через судебную экспертизу, что его личное устройство было заражено вредоносными программами, которые хакер использовал для доступа к его приватным ключам. Точные данные о том, как было заражено устройство, по-прежнему расследуются правоохранительными органами, которые были привлечены к расследованию, пытаясь проследить личность хакера. Хотя хакер перед откатом смог продать только 6003 токена Shift из 1,2 млн., которые были украдены (точнее: мы восстановили 1,223,675.17299451 / 1,229,678.17299451), и благодаря нашим новым процедурам безопасности они никогда не смогут повторить кражу через взлом устройства члена команды, Shift занимается этим вопросом, для того, чтобы помочь правоохранительным органам не допустить, чтобы другие лица подвергались нападениям или стали жертвами этого лица.

Обстоятельства: Раньше ключи проекта Shift держались в холодном хранилище. Для выполнения платежей USB-устройство на короткое время подключалось к персональному компьютеру нашего разработчика. Поскольку персональный компьютер был взломан, в момент подключения, хакер смог получить доступ к ключам.

Незамедлительный Ответ: Команда заметила, что балансы кошельков проекта Shift были опустошены через несколько часов после того, как они были взломаны. В этой связи сразу были приняты следующие меры:

  1. Взломанный компьютер был отключен от сети.
  2. Откат цепи был подготовлен в свежеустановленной системе с использованием другого интернет-соединения.
  3. С полным большинством согласия всех 101-го сетевого делегата был выполнен откат, и кража была отменена на 99,5%, перемещением украденных средств на безопасные новые кошельки в предыдущем блоке.
  4. Новые ключи были напечатаны на бумаге, чтобы предотвратить любую дистанционную кражу в период реализации окончательных мер безопасности, которые были разработаны с использованием новых протоколов обработки фонда.
  5. Хотя сам Shift не был взломан, мы решили провести полный аудит исходного кода в течение следующих двух недель, который подтвердил, что код Shift не был изменен неавторизованной стороной в любое время.

Новые Протоколы Обработки Фонда: Мы признали, что, хотя блокчейн Shift безопасен, сам проект будет лучше защищен в соответствии с новыми протоколами, которые устраняют все возможные «единые точки отказа» в контроле и безопасности средств проекта. Это особенно важно, так как Shift продолжает расти как с точки зрения разработки продукта, так и на рынке. В консультации с Isabella и другими людьми, имеющими опыт в обеспечении крупных проектов с достаточными мерами контроля рисков, мы разработали новые протоколы, которые полностью устраняют риски, которые были возможны в рамках прежней установки:

  1. Командные кошельки будут разделены на несколько небольших кошельков. (В качестве дополнительного улучшения эти командные кошельки, кроме того, будут жестко закодированы в Shift Blockchain Explorer в будущих версиях с идентификационными именами, чтобы обеспечить прозрачность для сообщества в бюджетировании расходов по проекту).
  2. Эти новые кошельки будут управляться с помощью мультиподписи, что означает, что два из трех высокопоставленных членов проекта должны подписывать любые транзакции своими собственными уникальными кодовыми фразами. Другими словами: для каждого из этих новых кошельков проекта будет три набора ключей, а для обработки любой транзакции, использующей эти средства проекта, необходимо использовать 2/3 набора ключей. В настоящее время мы готовим эти кошельки с мультиподписью. Кошельки с мультиподписью полностью работают, но в последний раз тестировались несколько версий ядра назад, поэтому у нас будет еще один тест-драйв в тестовой сети, прежде чем эта реализация будет выполнена в ближайшие недели.
  3. Для этих кошельков каждый набор ключей, необходимый для 2/3 мультиподписи, будет храниться в холодном хранилище на разных устройствах различных высокопоставленных членов команды, которые проживают в разных местах. Таким образом, с точки зрения нарушения системы, едина точка отказа невозможна.
  4. Долгосрочные средства будут оставаться заблокированными в кошельках с холодным хранением и сохраняться отдельно от кошельков, к которым обычно обращаются за расходы по проекту (например, маркетинговые сборы, оплата подрядчиков и т.д.).
  5. Транзакции для кошельков Shift всегда были подписаны на стороне клиента (это означает, что, хотя интернет используется для подключения к сетевым пирам на блокчейне, кодовые фразы никогда не покидают персональное устройство пользователя при доступе к кошельку). Однако подключение USB-накопителя, содержащего кодовые фразы при подключении к Интернету, создает угрозу безопасности, поскольку удаленное соединение может позволить неавторизованному пользователю получить доступ к содержимому диска. Поэтому в качестве дополнительной меры предосторожности, USB-накопители никогда не будут подключены к компьютеру, в одно и тоже время с подключением к Интернету.

Наши Размышления: Использование новых протоколов обработки средств делает по сути невозможность нарушения персонального устройства члена команды для кражи средств проекта, и благодаря тому, что делегаты быстро выполнили откат путем полного согласования голосования, более 99,5% токенов Shift пострадавших от нарушения персонального устройства нашего разработчика, были восстановлены. Прагматично, вопрос полностью урегулирован, и поскольку Shift не понёс ущерба в финансах, мы можем двигаться дальше сильнее, чем когда-либо, со всеми необходимыми расширенными протоколами в действии. Вследствие этого инцидента больше всего влияет на идеологические последствия выполнения отката: каждый делегат проголосовал за его поддержку, и сообщество также подавляющим образом это поддерживает, с философской точки зрения откат требует от нас принятия сложного оценочного суждения.

В принципе, откат продемонстрировал силу такой системы, как Делегированное Подтверждение Доли: в отличие от печально известного взлома Ethereum DAO (в котором использовался умный контракт на блокчейне Ethereum, а не личное устройство разработчика, которое было взломано для записи кодовый фраз, что не является нарушением или недостатком самого блокчейна), команде Shift не пришлось принимать решение о снижении баланса украденного кошелька по принципу "сверху вниз". Вместо этого мы смогли прибегнуть к решению сообщества, которое приняло децентрализованное и демократическое решение о возврате средств. Мы считаем, это демонстрирует, что Делегированное Подтверждение Доли сохраняет принцип децентрализации, который, возможно, имеет большую ценность и значение, чем принцип неизменности «ради него самого». То есть, первичная ценность неизменяемости блокчейна, по сути, заключается в обеспечении справедливости и прозрачности, то есть в целях предотвращения коррупции и злоупотребления властью. На наш взгляд, демократическое использование власти для исправления неправомерного кражи сохраняет эти основополагающие принципы справедливости и прозрачности.

С другой стороны, любая форма власти может быть коррумпирована. Откат - это действие, которое мы не можем воспринимать легкомысленно, и которое, как мы ожидаем, больше никогда не повторится: его следует резервировать только для ситуаций, когда альтернатива ставит проект в ужасную угрозу и на стадиях зрелости проекта, когда откат возможен без подрыва работы блокчейн платформы. В будущем, когда децентрализованные приложения Shift будут использоваться клиентами и предоставлять услуги для экономики, число делегатов также будет выше (это часть нашего нового инновационного алгоритма консенсуса dPOS, который мы разрабатываем с декабря для запуска на основной цепи Shift в этом году). Другими словами, этот откат был возможен из-за текущего размера и сложности сети, а также текущего этапа бета-тестирования (pre-rollout) служб децентрализованных приложений Shift. Поэтому мы принимаем прагматичную философскую позицию о неизменности блокчейна в сравнении со справедливым использованием демократической власти: то, что подходит для более ранней стадии проекта, может оказаться неприемлемым для более позднего этапа, и проект должен быть разработан таким образом, что его технологическое развитие одновременно способствует созреванию механизмов демократического, децентрализованного управления. Мы считаем, что путь развития Shift успешно сбалансировал этот процесс и что это сила, которая сделала проект чрезвычайно устойчивым в преодолении любой проблемы, с которой он столкнулся, например, этого.

Заключительное Слово: Мы очень благодарны за подавляющую поддержку сообщества и содействие в тот момент, когда появились новости о взломе личного устройства нашего разработчика, и мы можем без преувеличения сказать, что наличие такого фантастического сообщества является частью того, что является поощрением для нашей работы над Shift. Мы попытались предоставить вам полную оценку инцидента, чтобы все могли видеть протоколы, которые мы установили, для полной уверенности в том, что финансы проекта не будут повреждены, и мы продвигаемся вперед сильнее, чем когда-либо, благодаря демократическому голосованию делегатов и нашим новым расширенным процедурам, которые официально предусматривают использование многопользовательских кошельков, автономное подписание и другие меры. Мы сделали все возможное, чтобы дать четкое и краткое описание всех соответствующих тем здесь, но если у кого-то в сообществе все еще есть вопросы, пожалуйста, обратитесь к нашей команде, и мы будем рады ответить вам.

С Наилучшими Пожеланиями,
Команда криптовалюты Shift

ip.bitcointalk.org3.png

Перевод выполнен при поддержке делегата: mx (4446910057799968777S)
Vote for Mx. #1 marketing pool with 80% share.

  • Узнать больше информации о SHIFT - криптовалюте третьего поколения можно в наших предыдущих статьях.
  • Обсудить перспективы этой криптовалюты в телеграм чатах: EN / RU
2
0.080 GOLOS
На Golos с June 2017
Комментарии (2)
Сортировать по:
Сначала старые