Уважаемые пользователи Голос!
Сайт доступен в режиме «чтение» до сентября 2020 года. Операции с токенами Golos, Cyber можно проводить, используя альтернативные клиенты или через эксплорер Cyberway. Подробности здесь: https://golos.io/@goloscore/operacii-s-tokenami-golos-cyber-1594822432061
С уважением, команда “Голос”
GOLOS
RU
EN
UA
fominal
6 лет назад

Интервью вицепрезидента NEM Foundation Jeff McDonald с Александрой Tinsman от Inside NEM о хакерской атаке на Coincheck

Интервью вицепрезидента NEM Foundation Jeff McDonald и Alex Tinsman от Inside NEM о хакерской атаке на Coincheck

Inside NEM Episode 31
You can watch the full video here:


Ссылка на оригинал http://bit.ly/Transcript-Coincheck-Interview


ЗАПИСЬ ИНТЕРВЬЮ О ВЗЛОМЕ БИРЖИ COINCHECK
Специальный выпуск, о краже монет XEM с биржи Coincheck 25 января 2018 года. Я собираюсь объяснить, что команда NEM знает о ситуации и о том, какой ответ NEM даст. Мой специальный гость Jeff McDonald вице президент NEM Foundation.

Alex: Итак, со мной здесь, сегодня, Джефф Макдональд, который является вицепрезидентом NEM Foundation, и мы в этом специальном выпуске будем говорить о краже криптовалюты XEM с биржи Coincheck произошедшей вчера. Команда NEM и команда Coincheck работают вместе, чтобы попытаться найти лучшее решение в этой ситуации. Поэтому я привела Джеффа, так как вокруг было много домыслов и спекуляций.
Джефф, не могли бы вы нам разъяснить ситуацию, чтобы мы могли понять что же произошло, и как вы думаете, что будет происходить в течение следующих нескольких дней.

Jeff: Это событие содержит в себе много неизвестного, но я могу сказать, что я встретился с командой Coincheck и мы были очень расстроены их ошибками. Всё что мы знаем, что кто-то снял более пятисот миллионов ХЕМ с их кошелька и сейчас команда Coincheck делает всё возможное чтобы выяснить как все это произошло. NEM Foundation держит связь с ними, обсуждают проблему и пытаются помочь насколько это возможно. На данный момент, остаётся ещё много невыясненного. В общем, мы пытаемся помочь им. Мы отслеживаем средства, которые были изъяты, и NEM Foundation помечает каждый аккаунт, на который были переведены эти средства.

В настоящее время мы обращаемся к биржам чтобы заморозить любые депозиты, которые были сделаны с этими украденными XEM.

Насколько плоха эта ситуация, настолько же NEM имеет мощный API, и добавление любого 1 XEM на любой депозит покажет это биржам, если украденные средства будут добавлены к любому депозиту.

Поэтому мы работаем с биржами, чтобы увидеть, что этот инструмент работает.

Alex: (Читает сообщение из Inside NEM Twitter во время эфира). Некоторые интересуются: “Думаете ли вы, что похищенные хакерами NE XEM вернется к клиентам?” К нам поступает множество вопросов из Twitter. Это один из них.

Jeff: Вы спрашиваете, вернут ли хакеры деньги в Coincheck?

Alex: Нет, возможно ли вообще вернуть их обратно в Coincheck?

Jeff: Я не хочу долго рассуждать об этом. По сути они потеряли полмиллиарда долларов в XEM, и если бы у них был миллиард долларов в банке, то они легко смогли бы покрыть убытки. Я не знаю, сколько у них денег. Так что, похоже, это действительно будет веской причиной, чтобы во всём разобраться, и я с ними об этом ещё не говорил.

Alex: Мы с вами уже говорили об этом раньше, ведь любая биржа, которая позволяет работать с XEM, фактически выкупает их на собственные средства. Они не покупали его со скидкой. Они покупали его по той же цене, что и все остальные, и по этой же причине мы не на каждой простой бирже, верно? NEM Foundation имеет очень жесткую позицию в отношении продажи со скидкой. Вообще это, конечно, наносит большой ущерб для Coincheck, потому что это практически превышает их доход.

Jeff: Да, это так. Я очень расстроен, потому что я встречался с командой Coincheck лично - они реально классные парни. Они были в основном известны в Японии как удобная и простая в использовании биржа, поэтому они были очень популярны. И потому как работает Coincheck, мы точно знаем, что они давно покупали 300 миллионов XEM. Поэтому и непонятно, какая часть украденного XEM принадлежала Coincheck, а какая пользователям. Это еще предстоит выяснить. Но мы можем ожидать, что будут пересечения обоих частей.

Alex: Что же произошло? В NEM узнали сразу же? Есть ли рассылка электронной почты? Или горячая линия? В чате спрашивают о возможности узнать, когда именно биржа была взломана.

Jeff: Да, так. У NEM есть горячая линия. И как раз вчера вечером, когда Coincheck обратились к нашей горячей линии, мы ответили на их звонок. Затем довольно скоро после этого я смог провести с ними видеоконференцию и обсудить наши варианты. И как раз тогда мы и установили, что NEM Foundation будет помечать и отслеживать эти средства для Coincheck.

Alex: В чате спрашивают, есть ли способ вернуть XEM силой? Не может ли NEM просто остановить это? Но на самом деле это работает не так. Вы не можете просто взять и прекратить такие транзакции.

Jeff: Тут несколько вещей... когда средства были выведены из Coincheck, по-видимому, все средства были в горячем кошельке, у которого был открытый API и, вероятно, открытый приватный ключ. Я очень надеялся, что они использовали контракт NEM с мульти-подписью, и это спасло бы их от всех этих проблем.
Как уже было сказано, как только средства были выведены из Coincheck, они находятся в блокчейне, и нет никакой возможности вернуться назад и изменить историю в блокчейн без хард форка. Для нас хард форк не вариант. Протокол NEM работал точно так, как он был разработан. Проблема заключается в том, что средства были изъяты, и единственный способ попытаться восстановить средства силой - это хард форк, и мы вообще не считаем это приемлемым, потому что система NEM работает правильно. Это, конечно, ужасно, но я думаю, что если деньги и будут возвращены, то это должен быть хакер, возвращающий монеты в Coincheck.

Alex: И они заявили, что... Чтобы было понятно, у нас хорошие отношения с Coincheck. Они хорошие ребята, и они допустили ошибку, не уделив достаточно внимания мерам безопасности. Их главный операционный директор выступил в прямом эфире и пообщался со СМИ.
Мы не хотим кого-либо обвинять (использовать чужие ошибки в своих целях). Для нас важно показать на этом примере, что стоит делать и чего делать не нужно. Что очевидно, так это то что не нельзя держать все свои деньги на бирже вместо того чтобы хранить их в холодном кошельке. Мы готовим учебные пособия о том, как использовать мультиподпись и будем больше рассказывать об этих функциях. Это конечно жестокий урок для многих людей, включая Coincheck и их клиентов о том, что может произойти, если не заботиться о сохранности своих средств.

Jeff: Да, это так. И простые пользователи, и биржи. Снова и снова биржа за биржей взламываются. Независимо от того, какой уровень безопасности использует биржа, хакеры будут пытаться добраться до следующего уровня чтобы взломать их. Это постоянная игра в кошки-мышки.
Теперь, рассказав об этом, я расскажу о Catapult. У нас предстоит большое обновление для NEM. В будущем мы дадим возможность биржам, даже в случае взлома, когда приватный ключ скомпрометирован, сделать так чтобы средства все еще не могли бы быть украдены. Это будет организовано при помощи некоторых расширенных контрактов, которые подключаются непосредственно к ядру NEM Catapult. Мы знаем эту проблему в блокчейн и криптовалютах. Биржи взламывали снова и снова.

И NEM не первый blockchain, который был, есть или будет подвергнут атаке. Существует множество отличных решений, и мне приятно сказать, что мы хорошо об этом подумали. С установленным обновлением Catapult у биржи, было бы невозможно, этому хакеру украсть все их деньги.

Alex: Я получаю множество уведомлений в Twitter - сотни. И многие спрашивают, будет ли влияние на XEM в долгосроке? Это заметно... легко увидеть это сейчас. Да, вы можете работать с биржами, чтобы он не позволяли выкупать маркированные и отслеживаемые средства, но не сможет ли этот хакер фактически манипулировать ценой XEM в будущем?

Jeff: Ну, это всегда большой вопрос, и ответить на него сложно. На данный момент для хакера просто нет возможности продать XEM на 500 миллионов долларов. Рынок не должен бояться этого. Должен сказать, я был очень рад, что самые большие биржи с наибольшей ликвидностью, c которыми мы связались, были весьма отзывчивы на данный момент. И я так же очень доволен тем, как сообщество в целом и экосистема партнеров, основанных на NEM и использующих NEM, очень отзывчивы к нашим контактам и предложениям. Сейчас мы работаем над системой, так что человеку, владеющему этими средствами, будет очень сложно их продать. Я не могу говорить о том, как это будет выглядеть, или когда это будет реализовано, но мы уже отслеживаем эти транзакции, и все учетные записи с украденными средствами были помечены.

Alex: Значит, вы на 100% уверены в том, где все эти деньги, на каких адресах они находятся, потому что вы помечали их в реальном времени?

Jeff: Ну, я не могу сказать, что на 100% уверен, но в последнем сообщении, которое я получил, было 98%. Мне нужно проверить последний отчет. Да, мы активно наблюдаем за тем, что происходит с фондами, и как они перемещаются. Мы намерены работать с биржами, чтобы все разрешилось наилучшим образом для нашего сообщества.

Alex: Сообщество спрашивает... если биржа, не может восстановить средства, которые они выкупили из бюджета... ну, есть некоторый страх и сомнения вокруг, может ли это обвалить биржу?

Jeff: Это то, на что должен обратить внимание Coincheck. Я знаю, что мы увидели много серьёзных взломов..., которые прошли в обоих направлениях, и это то, что они собираются пересмотреть в своих учетных системах. Им, конечно, следует сделать публичное заявление по этому поводу. Но я могу сказать, что я не удивлюсь в любом случае. Очень может быть, что они сочтут возможным продолжить работу ... так же вероятно, что они будут вынуждены закрыться. Я действительно не знаю.

Alex: Просто, чтобы быть откровенной с вами, я не припомню такого крупного взлома в банковском деле, из тех что я знаю в крипто-мире.

Jeff: Некоторые называют это самой большой кражей всех времен. Это очень субъективно. Очевидно, что Уолл-стрит несет ответственность, как вы знаете за кризис жилья, Fanny Mae... Freddie Mac. И множество других вещей, где очень много денег исчезло. Но в сфере криптовалют, в области крипто-бирж, это самый большой взлом биржи, о котором я знаю, с любыми известными криптовалютами.

Alex: (читая Twitter) Вот некоторые из отзывов... «Итак, у вас есть централизованная система, где вы можете играть богов над своей валютой и отслеживать и замораживать чужие деньги? Это сильно напрягает». Это то, что сказал кто-то в Twitter. Это не совсем так...

Jeff: Это не так. Это blockchain. То есть вся информация о blockchain всегда известна и открыта. К тому же в NEM есть замечательная вещь - это наш API, который очень легко интегрируется и настраивается позволяя легко отслеживать в реальном времени передаваемые активы и сообщать об этом любым партнерам, которые хотят поддержать Coincheck в этой ситуации.

Теперь все зависит от того, хотят ли остальные биржи участвовать в этом процессе или нет. И это вопрос выбора.

Никто не имеет абсолютного контроля над блокчейном.
Мы можем дать людям инструменты, чтобы оставаться в курсе и настороже.

В сравнении с другими блокчейнами, где отслеживание средств в реальном времени не может быть эффективно сделано. В NEM это всего лишь простой вызов API. Тогда как в других блокчейнах вам придется искать хэши транзакций, что является затратным и неэффективным способом поиска информации. Очевидно, что команда NEM не собирается делать хард-форк. Но при этом мы можем дать нашим партнерам и всей нашей экосистеме инструменты позволяющие убедиться, что они не помогают преступнику.

Alex:
Не могли бы вы вернуться и поговорить о мульти-подписи? Дело в том что мы получаем много вопросов от сообщества: «Почему они не использовали мульти-подпись» и «может ли биржа использовать мульти-подпись? У них так много людей ... сотни сотрудников (Coincheck), и они пытаются одобрить все эти транзакции. Или есть другие варианты в будущем и новые функции, где это могло бы предотвратить что-то подобное для участников.

Jeff: Хорошо, давайте вернемся на секунду. Обычно биржа, или биржи имеют несколько уровней безопасности.

Чаще всего создается холодный кошелек и горячий кошелек. Обычно удерживается большинство 90-95% своих средств в холодном кошельке.

Это считается лучшей практикой. Следующее, что может сделать биржа, это то, что большое количество других криптовалют в принципе не поддерживают - мульти-подпись, основной тип контракта, включенного в механизм консенсуса.

NEM поддерживает это. NEM был первым блокчейном из всех, который когда-либо предоставлял мульти-подпись в качестве части консенсуса и как основной механизм создания блоков.

В случае с биткоином в основном пытались сделать мульти-подпись уже после сборки блока.

Существует очень популярная компания под названием Bitco, которая обрабатывает мульти-подписи для многих крупных бирж.

И многие крупные биржи с биткоином просто передают свои мульти-подписи сторонним компаниям. NEM просто делает это, и вам не нужно ничего передавать на аутсорс. Вам всего лишь нужно подключить API, и тем более очень досадно, что 1.) Coincheck не использовал вариант с холодным кошельком и вторых, что они не использовали мульти-подпись для своего горячего кошелька и/или для их холодного кошелька,

Опять же, есть много вещей, которые Coincheck ... и я не указываю пальцем. Они замечательные парни ... но есть много вещей, которые они могли бы сделать, чтобы это стало невозможным.

Я надеюсь, что на остальных биржах мульти-подпись будет внедрена на обоих, или хотя бы на одном из холодного и горячего кошельков.

Это было бы круто. Некоторые биржи внедрили систему мульти-подписи. На самом деле это самый безопасный способ обеспечения сохранности средств.

Alex: Это… Это еще один из очень больших вопросов, которые интересуют сообщество. Как вы можете гарантировать, что биржа действительно использует что-то вроде этого?

Кто сможет сказать, что с любой другой биржей не случится то же самое?

Я не думаю, что на это можно что-то ответить, потому как мы стараемся работать с нашими партнерами, но в конце концов это же они владеют биржами.

Мы же не можем их заставлять... но мы стараемся научить их... NEM делает много чтобы показать как им пользоваться...

Jeff: Если они обратятся к нам, да. Биржа хочет некоторой поддержки и обучения, мы конечно готовы работать с ними, оказывать им поддержку и обучать, как использовать протокол NEM.

Я скажу, что некоторые биржи... я говорил со многими из них... у некоторых бирж, да, есть усовершенствованные функции безопасности, которые действительно хороши и на самом деле впечатляют.

Но я не собираюсь бросать кого-либо под ковер называя имена, кто справляется с этим хорошо, а кто-то не очень.

Alex: Да… Я не думаю что нам стоит здесь углубляться.

Jeff: Да

Alex: Я знаю, что вы сами и другие члены команды NEM используют 3-х факторную аутентификации. Правильно?

Jeff: Да

Alex: Можете ли вы рассказать немного о том, как вы делаете 3-х факторную аутентификацию?

Jeff: Конечно. Вобщем, NEM позволяет делать некоторые действительно крутые вещи с помощью мульти-подписи.

В основном из того, что было достигнуто, это то, что обычно делают мульти-подпись на нескольких машинах... некоторые из них подключены к Интернету, а каким-то и не нужно быть подключенными к Интернету.

Транзакции инициируются на одном компьютере и утверждаются на другом, а затем ещё утверждаются на следующем компьютере.

Так, например, я мог бы инициировать транзакцию на моем компьютере с Windows,
а затем утверждать ее на аппаратном кошельке TREZOR, подключенном к Mac, а затем я мог бы загрузить Linux Ubuntu на компьютер, который почти никогда не касается интернета и подписать её.

Это немного не доработано, но в следующей версии Nanowallet уже объявлена и включена поддержка оффлайновых транзакций.

Просто это подошло немного с опозданием, но оффлайновая поддержка транзакций для машин, которые буквально никогда не касались интернета, будет частью следующего выпуска Nanowallet. Я уже тестировал и использовал его. Это конечно впечатляет.

Alex: Ух ты, это хорошо. Побыстрее бы Catapult! (смеется) О, боже мой.

Jeff: (Смеется.) Ну текущая версия NEM уже поддерживает офлайн-транзакции. Мы уже давно это поддерживаем. Вы можете посмотреть наш веб-сайт сообщества NEM.io, и у него есть то, что называется горячим / холодным кошельком.

Это экспериментальный proof of concept кошелёк, который никогда в принципе не касается Интернета и при этом может использоваться для отправки и получения транзакций.

Это действительно классная идея. Это также будет еще одна функция в следующей версии Nanowallet, который будет доступен в течение следующей недели или двух.

И это обеспечит поддержку автономной безопасной транзакции. Так что да... мы предлагаем это. И у Catapult есть две расширенные функции, в которые я не могу сейчас углубляться, но если бы какая-либо из них использовалась ... это сделало бы типичный взлом биржи невозможным. Это действительно потрясающе.

В будущем, как вы сказали ... выходит Катапульта ... и есть не один способ убедиться, что типичный взлом бирж не произойдет, есть два разных способа убедиться, что этого не произойдёт. Это действительно воодушевляющий API и протокол, который выходит с Catapult.

Alex: Да. И вот сейчас ... я вижу некоторое замешательство у большой части комьюнити, которую я мониторю, пока мы проводим это интервью, и состоит оно в том, что они действительно беспокоятся о цене NEM и их собственных монет в Coincheck.

И они пытаются разобраться, поскольку мы помечаем монеты, чтобы не было злоупотреблений с тем, как люди могут использовать это в будущем, чтобы контролировать монету.

Но я думаю, что вы точно указали, как это работает, и тот факт, что все находится в блокчейне, и каждый может все видеть, и это не то, что мы можем контролировать. Да, мы можем маркировать и сообщать об этом, но совместно с биржами мы делаем то что можем, и все биржи были восприимчивы к нашим отзывам и работали с нами по этому вопросу.

Jeff: Да, верно. И опять же, хард-форк - это не вариант. Этого нет на повестке дня.

Сила NEM как раз в том, что очень легко пометить активы в блокчейне и дать биржам возможность видеть когда кто-то пытается внести деньги украденные из Coincheck.

Alex: Мы можем поговорить с вами о многом, но я хочу, чтобы сообщество было в курсе, что я работаю в тандеме с вами, не только чтобы разрулить все это, и что официальный представитель NEM на самом деле собирается организовать большое обсуждение об этом через сообщение в блоге...

и через наш пресс-релиз ... Lon (наш президент) сообщил об этом, чтобы дать людям возможность понять, что и когда произошло, и как работать с Coincheck... вы делаете интервью сегодня ... так что это не последнее, что сообщество услышит об этом.

Мы будем вовлечены и будем продолжать исследовать, но вы также будете говорить об этом больше с партнерами в рамках исследований, поскольку у Coincheck есть возможность добится большего в этом расследовании.

Jeff: Определенно да. Мы будем продолжать держать всех в курсе, и мы ценим, что вы помогаете нам в этом, Alex. Спасибо.

Alex: Я хочу поблагодарить комьюнити за помощь в контроле страха и неопределённости и хочу напомнить всем, что мы делаем все возможное, чтобы наш партнер, Coincheck, имел преимущество, с тем что мы можем сделать пользуясь NEM.

Потому повторюсь, покидая наши руки, средства находятся под защитой их мер безопасности. Поэтому, пожалуйста ... пусть остальная часть комьюнити узнает, что NEM имеет мульти-подпись и нужно очень-очень хорошо позаботится о том, как вы управляете своими крипто-активами как на биржах, так и в ваших кошельках. Так что спасибо, Джефф.

Jeff: Yup, yup, yup. А также, если это возможно, приобретите аппаратный кошелек. У нас есть поддержка TREZOR, и это также отличный способ сохранить ваши средства.

Alex: Отлично, я собираюсь поделиться этим с комьюнити, так что спасибо вам, и мы выйдем на связь с вами в ближайшее время.

4
0.000 GOLOS
0
Ответить
На Golos с May 2017
Комментарии (4)
Сортировать по:
Сначала старые
© 2016 - 2024 Golos.io