Уважаемые пользователи Голос!
Сайт доступен в режиме «чтение» до сентября 2020 года. Операции с токенами Golos, Cyber можно проводить, используя альтернативные клиенты или через эксплорер Cyberway. Подробности здесь: https://golos.io/@goloscore/operacii-s-tokenami-golos-cyber-1594822432061
С уважением, команда “Голос”
GOLOS
RU
EN
UA
johnga1t
7 лет назад

Интервью с вице-президентом NEM Foundation Джеффом МакДональдом + Алекс Тинсман из Inside NEM о взломе Coincheck


Inside NEM Выпуск 31


 

ЗАПИСЬ ИНТЕРВЬЮ О ВЗЛОМЕ COINCHECK

Это экстренное сообщение о краже монет XEM с биржи Coincheck 25 января 2018 года. Я собираюсь объяснить, что команда NEM знает о ситуации и какой будет ее реакция. У меня в гостях вице-президент NEM Foundation - Джефф МакДональд.

Алекс: Итак, с нами сегодня Джефф МакДональд, который является вице-президентом NEM Foundation, и мы поговорим об экстренном сообщении, в котором говорится о вчерашней краже монет XEM с биржи Coincheck. Команда NEM и команда Coincheck работают вместе, чтобы попытаться решить сложившуюся ситуацию, насколько это возможно. Так вот, я привела Джеффа, поскольку возникло множество предположений, и, Джефф, если бы Вы могли представить общую картину ситуации для людей, которые только входят в курс дела, и Вашу позицию относительно того, что, по Вашему мнению, произойдет в течение следующих нескольких дней.

Джефф: По-прежнему остается много загадок, но я могу сказать, что у меня была встреча с командой Coincheck, и мы очень сочувствуем их потерям. Нам известно, что кто-то вывел более 500 миллионов XEM с их кошелька, и команда Coincheck пытается сделать все возможное, чтобы выяснить, что произошло. А NEM Foundation протягивает им руку помощи и пытается поддерживать их как можно лучше. На данный момент еще многое предстоит выяснить. Вообще говоря, мы пытаемся им помочь. Мы отслеживаем средства, которые были выведены, и NEM Foundation помечает все учетные записи, в которых фигурируют данные средства. В настоящее время мы обращаемся к биржам и останавливаем любые депозиты, которые были сделаны с помощью выведенных монет XEM. Насколько б не была плохой данная ситуация, NEM имеет очень мощный API и добавление любого 1 API на любой депозит покажет биржам, были ли украденные средства добавлены к какому-либо депозиту. Поэтому мы работаем с биржами, чтобы понять, можем ли мы это сделать.

Алекс: (Читая в прямом эфире из твиттера Inside NEM). Некоторые из сообщества спрашивают, предполагаете ли Вы, что украденные хакерами монеты XEM вернутся клиентам? У нас есть куча вопросов, поступающих из твиттера. Это один из вопросов.

Джефф: Вы спрашиваете, вернут ли хакеры деньги обратно Coincheck?

Алекс: Нет, возможно ли это в принципе, вернуть их обратно Coincheck?

Джефф: Я не хочу строить предположений. Попросту говоря, они потеряли полмиллиарда долларов XEM, и если бы у них был миллиард долларов в банке, то они могли бы легко покрыть убытки. Я не знаю, сколько у них денег. Так что им есть в чем разобраться, и я не говорил с ними об этом.

Алекс: Это то, о чем мы с Вами говорили раньше, но это касается ЛЮБОЙ биржи, которая работает с XEM, они фактически покупают его из собственного кармана. Они не покупают его со скидкой. Они покупают его по той же цене, что и все остальные, и поэтому мы говорим о всех без исключения биржах, верно? У NEM Foundation очень жесткая позиция относительно продаж со скидкой. На самом деле, это наносит ущерб Coincheck, поскольку оказывается негативное влияние на их чистый доход.

Джефф: Да, так оно и есть. Мне очень жаль, поскольку я лично встречался с командой Coincheck - они действительно хорошие ребята. В основном они известны в Японии как простая и дружелюбная биржа, поэтому они очень популярны. Но нам известно, что Coincheck купили 300 миллионов XEM. Поэтому неизвестно, какая часть украденного XEM принадлежала Coincheck, а какая - пользовательские средства, депонированные пользователями. Это еще предстоит выяснить. Но мы предполагаем, что это сочетание обоих.

Алекс: Так что же произошло? Сразу ли узнали в NEM о случившемся? Была ли рассылка электронной почты? Горячая линия? Сообщество спрашивает об оповещении общественности о взломе биржи.

Джефф: Да, у NEM есть горячая линия. И вчера вечером, мы получили звонок от Coincheck на нашу горячую линию. Затем вскоре после этого, я провел с ними видеоконференцию и мы начали обсуждать, какие у нас есть варианты. И вот тогда мы узнали, что NEM Foundation собирается отмечать и отслеживать средства для Coincheck.

Алекс: Сообщество спрашивает, есть ли способ восстановить XEM силой? Не может ли NEM просто остановить это? Но на самом деле это так не работает. Вы не можете просто так прекратить транзакцию.

Джефф: Есть несколько моментов ... когда средства были выведены из Coincheck, судя по всему, все средства находились на горячем кошельке, у которого был открытый API и, вероятно, открытый приватный ключ. Я действительно хотел бы, чтобы они использовали контракт NEM с мультиподписями, это предотвратило бы все эти проблемы. При этом, как только средства были выведены из Coincheck, они находятся на блокчейне, и нет возможности вернуться назад и изменить историю блокчейна без хардфорка. А для нас хардфорк - не вариант. Протокол NEM сработал именно так, как он был разработан. И проблема заключалась в том, что средства были выведены, и единственный способ попытаться восстановить средства силой - с помощью хардфорка, а мы не рассматриваем такой вариант в принципе, потому что система NEM работает корректно. Это ужасно, но я считаю, что деньги могут быть возвращены, только, если сами хакеры вернут монеты в Coincheck.

Алекс: И они заявили, что ... чтобы меня правильно поняли, у нас хорошие отношения с Coincheck. Они хорошие люди, но они допустили ошибку, не применяя должных мер безопасности. Их главный управляющий директор общался об этом в прямом эфире со СМИ. Мы не заинтересованы в том, чтобы перекладывать ответственность на кого-либо. Мы заинтересованы в том, чтобы использовать это как пример того, что делать и чего делать не стоит. И на данный момент, что не нужно делать - это держать все свои деньги на бирже и не переносить на холодный кошелек. У нас будет много руководств о том, как использовать мультиподписи и мы более подробно расскажем об этих функциях. То, что произошло - это пугающий случай для многих людей, включая Coincheck и их клиентов, который показывает, что происходит, если вы не надежно храните свои монеты.

Джефф: Да, так и есть. Пользователи так же, как и биржи. Снова и снова взламывается биржа за биржей. Независимо от того, сколько мер безопасности использует биржа, хакер попытается перейти на следующий уровень безопасности и попытаться взломать ее. Это постоянная игра в кошки-мышки.

Теперь следует рассказать о Catapult. Мы планируем значительное обновление для NEM, и в будущем мы сможем обеспечить то, что даже если биржа была взломана, а приватный ключ был раскрыт, то средства все еще будет невозможно украсть. Это возможно с помощью некоторых из расширенных контрактов, которые подключаются непосредственно к ядру системы NEM Catapult. Поэтому мы знаем, что проблема в блокчейн и криптовалютах. Биржи взламывали множество раз. NEM не первый блокчейн, который подвергается, подвергался или будет подвергнут воздействию. Существует много отличных решений, и я рад сообщить, что мы много думали об этом в прошлом. Если бы обновление Catapult было введено, и если бы биржа правильно его реализовала, то этот хак был бы невозможен.

Алекс: Я получаю много уведомлений в твиттер - сотни - и что их интересует - это будет ли влияние на XEM? 

Джефф: Ну, это всегда сложный вопрос, и ответ на него - мы не уверены. На данный момент для хакера просто нет возможности продать XEM на сумму $ 500 миллионов долларов. Рынок не должен бояться этого. Но я был очень рад тому, что самые большие биржи с наибольшей ликвидностью, к которым мы обращались, были очень отзывчивыми до настоящего времени. Я очень доволен тем, что сообщество в целом и экосистема партнеров, основанных на NEM и использующих NEM, очень отзывчивы к нашим контактам и предложениям. Сейчас мы оказываем влияние на систему, так что человеку, владеющему этими средствами, будет очень сложно их продавать. Я не могу говорить о том, как это будет выглядеть, или когда это будет реализовано, но мы уже следим за этим, и все учетные записи с украденными средствами были помечены.

Алекс: Выходит, вы на 100% уверены в том, где все эти деньги и у кого они, потому что вы отслеживаете его в реальном времени?

Джефф: Ну, я не могу сказать, что на 100% уверен, но в последнем сообщении, которое я получил, у нас было 98%. Мне нужно еще раз проверить последний отчет. Но да, мы активно наблюдаем за тем, что происходит со средствами, и как они перемещаются и знаем, как мы будем работать с биржами, чтобы все было хорошо для нашего сообщества.

Алекс: Сообщество спрашивает ... если вы (биржа) не можете восстановить средства, которые они выкупили из собственного кармана ... что ж, существует “Страх, неуверенность и сомнение”, может ли это свернуть биржу?

Джефф: Это то, на что Coincheck должны обратить внимание. Я знаю, что мы видели много крупных хаков ..., которые прошли в обоих направлениях, и что это то, что они собираются пересмотреть в своих отчетах, и они должны будут сделать публичное заявление по этому поводу. Но я могу сказать, что я не удивлюсь в любом случае. Очень возможно, что они могут остаться открытыми ... очень возможно, что они захотят закрыться. Я действительно не знаю.

Алекс: Будучи откровенной, я не могу припомнить взлом, который был бы таким большим в банковском деле, как в криптомире.

Джефф: Некоторые называют это самой большой кражей всех времен. Это очень субъективно. Очевидно, Уолл-стрит несет ответственность за то, что вы знаете как жилищный кризис, Fanny Mae (Федеральная национальная ипотечная ассоциация) ... Freddie Mac (Федеральная корпорация жилищного ипотечного кредита). Много другого, где исчезло много и много денег. Но в сфере криптовалют ... в сфере криптовалютных бирж - это самый большой хак биржи, о котором мне известно.

Алекс: (Читая твиттер) Итак, некоторые из отзывов ... «Итак, у вас есть централизованная система, в которой вы можете играть богов над своей валютой и отслеживать и замораживать чужие деньги? Это ужасно пугает». Это то, что было сказано в твиттере. Это не совсем так ...

Джефф: Это не правда. Это блокчейн. Таким образом, вся информация на блокчейне всегда известна и открыта. Самое замечательное в NEM - это наш API, который очень легко интегрируется и способ его настройки позволяет легко отслеживать деньги, переводимые в режиме реального времени, и поддерживать связь с любыми партнерами, которые хотят поддержать Coincheck в этом начинании.

Теперь все зависит от того, хотят ли они участвовать или нет. И это выбор по желанию. Никто не имеет абсолютного контроля над блокчейном. Мы можем дать людям инструменты, чтобы оставаться в курсе и быть начеку. В этом отличие от других блокчейнов, где отслеживание средств в реальном времени не может быть выполнено эффективным образом. В то время, как у NEM это будет простой вызов API. В то время, как у других блокчейнов вам придется искать хэши транзакций, что является ужасным и неэффективным способом поиска информации. Поэтому, чтобы внести ясность, команда NEM не собирается делать хардфорк. Но мы можем дать нашим партнерам и экосистеме инструменты, с помощью которых, они могут убедиться, что не оказывают помощь в преступлении.

Алекс: Не могли бы мы вернуться и поговорить о мультиподписи? Причина, по которой я спрашиваю, состоит в том, что у нас возникает много вопросов от сообщества: «Почему они не использовали мультиподпись» и «может ли биржа использовать мультиподпись? У них так много людей ... сотня людей сотрудников (Coincheck), и они пытаются подтвердить все эти транзакции ... «Помогла бы ли им мультиподпись, какой мы ее знаем сейчас? Или есть ли другие варианты в перспективе и новые функции для партнеров, которые могли бы предотвратить подобное.

Джефф: Позвольте мне вернуться на секунду. Обычно биржа или биржи имеют несколько уровней безопасности. И поэтому одно, что они обычно делают - имеют холодный кошелек и горячий кошелек. Обычно они хранят большую часть своих средств (90-95%) на холодном кошельке. Это считается лучшей практикой. Второе, что может сделать биржа, - это ... и это относится к большому количеству других криптовалют, которые даже не поддерживают мультиподпись в качестве основного контракта, подключенного к консенсусному механизму. NEM делает это. NEM был первым блокчейном, который когда-либо предоставлял мультиподпись в качестве части консенсуса и как основной механизм создания блоков.

В биткоине они в основном пытались выяснить, как сделать мультиподпись по факту. Существует очень популярная компания под названием Bitgo, которая обрабатывает мульти-подпись для многих крупных бирж. И поэтому многие крупные биржи, работающие с биткоином просто передают свои мультиподписи сторонним компаниям. NEM делает так, что вам не нужно ничего передавать на аутсорсинг. Вам просто нужно подключить API, поэтому очень позорно, что 

1.) Coincheck не использовали систему с холодным кошельком и 

2.) что они не использовали мультиподпись поверх своего горячего кошелька и/или их холодного кошелька. И снова, существует много вещей, которые Coincheck ... не будем показывать пальцем. Они замечательные парни ... но есть много вещей, которые они могли бы сделать, чтобы сделать взлом невозможным. Я надеюсь, что другие биржи используют систему холодного кошелька. Это было бы круто. А другие биржи внедрили систему холодного кошелька. На самом деле это самый безопасный способ защиты средств.

Алекс: Это…. Это еще один из важных вопросов, ответ на который сообщество хочет знать. Как вы можете гарантировать, что биржа действительно использует что-то вроде этого? Кто может дать гарантии, что с какой-либо другой биржей это не может произойти? На самом деле, я не думаю, что мы можем дать ответ, потому что мы стараемся работать с нашими партнерами, но в конце концов они владеют биржами. И мы не можем принудить ... но мы их обучаем ... NEM показывает им, как им пользоваться …

Джефф: Если они обратятся к нам, да. Если биржа хочет поддержки и обучения, тогда мы готовы работать с ними и оказывать им поддержку и обучение тому, как использовать протокол NEM. Я скажу, что некоторые биржи ... поскольку я говорил со многими из них ... у некоторых бирж есть определенные усовершенствованные функции безопасности, которые действительно неплохи и действительно впечатляют. Но я не собираюсь что-либо скрывать или называть имена тех, кто делает хорошо, или кто не делает хорошо.

Алекс: Да ... Я не думаю, что нам нужно в это лезть.

Джефф: Да.

Алекс: Я знаю, что Вы и другие члены команды NEM выполняют 3-факторную аутентификацию. Правильно?

Джефф: Да.

Алекс: Можете ли рассказать людям немного о том, как вы делаете 3-факторную аутентификацию?

Джефф: Конечно. Так вот, NEM делает возможными некоторые действительно продвинутые штуки с помощью мультиподписи, так что в основном много из того, что делали люди, это - мультиподписи на нескольких машинах ... некоторые из них подключены к Интернету, а некоторые не подключены к Интернету. Некоторые транзакции инициируются на одной машине и утверждаются на другой машине, а затем утверждаются еще на одной машине. Так, например, я мог бы инициировать транзакцию на моем компьютере с Windows, а затем утверждать ее на аппаратном кошельке TREZOR, подключенном к Mac, а затем я мог бы загрузить систему Abuntu на Linux на компьютере, который почти никогда не был подключен к интернету. Это немного неуместно, но в следующей версии Nanowallet уже включена поддержка оффлайновых транзакций. Просто это происходит слишком поздно. Но оффлайновая поддержка транзакций для машин, которые буквально никогда не подключались к интернету, будет частью следующего выпуска Nanowallet. Я уже тестировал и использовал его. Это очень впечатляет.

Алекс: Вау, это хорошо. Catapult, поторопитесь!  (смеется) О, боже мой.

Джефф: (Смеется) Так вот, текущая версия NEM уже поддерживает оффлайн-транзакции. Мы долгое время это поддерживали. Вы можете посмотреть наш веб-сайт сообщества NEM.io, и там есть то, что называется горячим/холодным кошельком. И это экспериментальное подтверждение концептуального кошелька, который никогда не подключается к интернету и может использоваться для отправки и получения транзакций. Это действительно классная идея. Это также будет еще одной опцией в Nanowallet - следующей версии Nanowallet - который будет доступен через неделю или две. И это обеспечит поддержку безопасности оффлайновой транзакции. Так что да ... мы предлагаем это. И у Catapult есть две расширенные функции, в которые я не могу сейчас углубляться, но если какая-либо из них будет использоваться ... это сделало бы типичный хак биржи невозможным. Это действительно потрясающе. В будущем, как вы сказали ... с приходом Catapult ... не существует только одного способа убедиться, что типичный хак биржи не произойдет, но есть два разных способа убедиться, что этого не происходит. Это действительно впечатляющий API и протокол, который выходит с Catapult.

Алекс: Да. Прямо сейчас ... замешательство, которое я вижу у большинства из сообщества, которое я мониторю, пока мы проводим это интервью, состоит в том, что они действительно беспокоятся о цене монеты NEM и их собственных монетах в Coincheck. И они пытаются лучше понять, не нарушает ли то, что мы помечаем монеты,  правил использования, что в будущем можно использовать для контроля монеты. Но я думаю, что вы точно указали, как это работает, и тот факт, что монета находится на блокчейне, и каждый может это увидеть, и это не то, что мы можем контролировать. Мы можем отметить ее и сообщить людям об этом, но мы делаем то, что можем, с биржами, и все биржи были восприимчивы к нашим отзывам и работают с нами по этому вопросу.

Джефф: Да, правильно. И снова, хардфорк - это не вариант. Это даже не обсуждается. Но сила NEM заключается в том, что очень легко пометить монеты на блокчейне и предупредить биржи, если кто-то пытается сделать депозит денег Coincheck.

Алекс: Мы можем говорить с вами о многом, но я хочу, чтобы сообщество знало, что я работаю в тандеме с вами, а не только выдумываю, и что официальный представитель NEM на самом деле собирается развернуть беседу об этом через сообщение в блоге ... и посредством нашего пресс-релиза ... Лон (наш президент) очень хочет дать людям понять, когда это произошло, и работать с Coincheck ... вы делаете интервью сегодня ... так что это не последний раз, когда сообщество услышит об этом. Мы будем заниматься и продолжать делать открытия, но вы будете говорить об этом больше с партнерами, поскольку у Coincheck есть возможность сделать больше исследований произошедшего события.

Джефф: Определенно, да. Мы будем продолжать держать всех в курсе, и мы ценим, что вы помогаете нам в этом, Алекс. Спасибо.

Алекс:  Я хочу поблагодарить сообщество за помощь в контроле “Страха, неуверенности и сомнений”, и напомнить всем, что мы делаем все возможное, чтобы наш партнер, Coincheck, оказался в лучших руках относительно того, что мы можем сделать с продуктом. Потому что, опять же, когда он выходит из под нашего контроля, он находится в их мерах безопасности. Поэтому, пожалуйста ... пусть остальная часть сообщества узнает, что NEM имеет мультиподпись и гипер гипер гипер хорошо следит за своими криптовалютами как на биржах, так и в своих кошельках. Так что спасибо, Джефф.

Джефф: Да, да, да. А также, если это возможно, обзаведитесь аппаратным кошельком. У нас есть поддержка TREZOR, и это отличный способ хранить ваши средства.

Алекс: Хорошо, я собираюсь поделиться этим с сообществом, поэтому спасибо, и до скорой встречи.

0
0.240 GOLOS
На Golos с April 2017
Комментарии (1)
Сортировать по:
Сначала старые