Mohl by technický upgrade zamezit krádežím bitcoinů?

 

Cryptsy, Shapeshift, Gatecoin, Bitfinex

Co mají tyto burzy společného? Dohromady z nich bylo letos odcizeno více než 130 000 BTC (cca 75 milionů dolarů). Hacky a krádeže na bitcoinových burzách jsou tak časté, že už to nikoho ani nepřekvapuje.

Nicméně i když se krádeže staly běžnou rutinou, neznamená to, že uživatelé bitcoinu je nepocítí na vlastní kůži. Pokud se něco takového stane, investoři přicházejí o peníze, negativní zprávy odrazují zákazníky a objevují se nové tlaky na podnikatele, kteří se chystají přijít s inovativními produkty.

Ředitel Coin Center Jerry Brito uvedl, že takové události dělají jeho organizaci medvědí službu. Nezisková skupina pro podporu a výzkum digitálních měn je, podle jeho slov, nucena stále dokola vysvětlovat rozdíl mezi ohrožením jednoho zprostředkovatele a bezpečností celé sítě.

Brito vysvětluje: „Velké krádeže vyvíjejí tlak na regulátory ochrany spotřebitele, kteří se ještě v oblasti digitálních měn moc neorientují. A tento tlak může snížit jejich citlivost k argumentům pro to, aby nezačali regulovat bezhlavě“.

Se zavádějícími nadpisy, jakože byl napaden bitcoin samotný, může být pro podnikatele a obhájce bitcoinu poměrně těžké regulátory v této oblasti vzdělávat. Díky nevratnosti bitcoinových transakcí a veřejné povaze blockchainu zůstává bitcoin nadále vítaným cílem pro hackery a jiné podvodníky. Díky blockchainu je možné snadno zjistit, kolik se na které burze nachází bitcoinů a je také téměř nemožné dostat ukradené bitcoiny zpět. To ovšem neznamená, že neprobíhají snahy o řešení této situace.

Aby minimalizovali možnost takových podvodů, přišli výzkumníci Malte Möser, Ittay Eyal a Emin Gün Sirer s řešením zvaným „Bitcoinový sejf“. Věří, že díky tomu budou krádeže bitcoinů mnohem složitější. Sirer uvedl pro server Coindesk:

„Jakmile zločinci zjistí, že to s krádežemi už není tak jednoduché, můžeme se dočkat snížení počtu pokusů o ně.“

A jak to funguje?

Hlavním přínosem by měla být možnost dostat své bitcoiny zpět, pokud dojde ke krádeži. Je to vlastně velmi jednoduché: Uživatel si zřídí novou BTC adresu, které se hned začalo říkat „trezor“. Je stejná, jako jakákoli jiná, jen s drobným rozdílem – s bitcoiny v ní nelze ihned nakládat. Toto omezení se v podstatě stalo druhým klíčem, který se nazývá „recovery key“, neboli obnovovací klíč. V případě útoku může majitel sejfu odvolat transakci a tím vrátit bitcoiny jejich právoplatnému majiteli.

Pokud chce nový majitel bitcoiny utratit, tak zadá běžnou transakci. Musí ale čekat po dobu předdefinovanou majitelem sejfu, pak teprve budou bitcoiny odeslány. Právě během této lhůty může být použit recovery key.

Dejme tomu, že hacker získá přístup k peněžence a zadá odchozí transakci. Poté bude muset čekat (každým uživatelem individuálně nastavenou) dobu, než se bitcoiny skutečně odešlou. Pokud ale během této doby jejich oběť použije recovery key, je transakce anulována. Zkusí-li hacker zadanou transakci iniciovat znovu, může majitel sejfu opět použít recovery key, čímž velmi zmenší pravděpodobnost, že si hacker bitcoiny skutečně odnese.

Nicméně možnost odvolání transakcí je noční můrou mnoha technologických nadšenců. Bitcoin byl totiž naprogramován tak, aby odvolání transakce nebylo možné. Tým stojící za tímto návrhem ale tvrdí, že to není problém. Díky jejich řešení se zabrání, aby byly bitcoiny v sejfu utraceny. Proto nebude možné, aby uživatel něco koupil a pak transakci odvolal. Díky tomuto opatření budou muset uživatelé nejprve poslat bitcoiny ze sejfu do peněženky, počkat předdefinovanou dobu, a pak teprve z peněženky platit běžným způsobem.

Je potřeba akce

Jakkoli to zní jako jednoduchý způsob prevence krádeží, implementace do bitcoinového protokolu nebude jednoduchá. Jelikož byl bitcoin definován bez možnosti odvolání transakce, musel by se jeho zdrojový kód přepsat. Konkrétně by bylo nutné přidat kód zvaný CheckOutputVerify.

Již dříve letos na svém blogu Eyal uvedl, že soft fork (rozdělení bitcoinu na způsob Etherea) může pomoci, maximální bezpečnost lze však dosáhnout jen pomocí hard fork. Soft fork by podle něj nestačil, protože by mohlo být možné ho obejít.

„Hacker, který získá soukromý klíč Alice (jméno jednoho ze dvou subjektů používaných v kvantové kryptografii, druhý je Bob. Pozn. překl.) může uplatit těžaře, aby za vysoký poplatek umožnil transakci, která nerespektuje (soft fork) dohodu. Těžař je tak vysoce motivován to udělat, stejně jako poté i další těžaři.

I kdyby ovšem vývojářské jádro kolem bitcoinu chtělo zaimplementovat hard fork (což by odstranilo jedno výbušné téma), není na to dostatek výpočetní kapacity.

Sirer uvedl, že poté, co přišel s návrhem na bitcoinové sejfy, si vyměnil pár zpráv s Gregem Maxwellem, který je jedním z vedoucích vývojářů. Maxwell uvedl, že vývojářské jádro je velmi zaneprázdněné. Na to Sirer odpověděl, že je čas, aby vývojáři začali upřednostňovat bezpečnost před vývojem ostatních řešení.

„Je pravdou, že škálovatelnost je Achillovou patou bitcoinu, ale Achilles měl paty dvě, a stejně tak je má bitcoin – škálovatelnost a bezpečnost.“

V současné době zpracovávají Sirer, Möser a Eyal požadavek na implementaci jejich návrhu do zdrojového kódu bitcoinu, který odešlou během několika příštích týdnů. To je však teprve první krok.

Komplikace pro bezpečnost

Ne všichni jsou však přesvědčeni jako Sirer, že tento návrh povede k větší bezpečnosti. Eric Lombrozo, vývojář bitcoinu a ředitel společnosti Ciphrex, která se zabývá bezpečností v blockchainu uvedl, že technická implementace návrhu by nebyla nijak složitá. Nový kód může být snadno přidán ke skriptovacímu jazyku bitcoinu. Ale také uvedl, že ačkoli je myšlenka bitcoinových sejfů akademicky zajímavá, zároveň by pro uživatele bylo mnohem složitější bitcoin používat v běžném životě.

Lombrozo vysvětlil, že uživatel by místo ochrany soukromého klíče musel chránit klíč k sejfu a ještě navíc recovery key. Zároveň by bylo potřeba stále hledat informace o napadení burz a v případě jejího nalezení provést ve svém sejfu odvolání transakce.

Podle Lombroza je ale hlavní starostí jádrových vývojářů validace transakcí a ukládání do blockchainu. Jejich úkolem je, aby byl bezpečný bitcoin jako celek a nikoli aplikace jednotlivých poskytovatelů služeb. Lombrozo uvedl:

„Nejlepšími nástroji k zabezpečení vašich bitcoinů jsou specializované programy, které běží na specializovaném hardware.“

Bitfinex podruhé

Výsledek je ten, že obě strany se dostaly do slepé uličky.

Sirer je přesvědčen, že kdyby Bitfinex používal bitcoinové sejfy, neztratily by se z něj bitcoiny zákazníků v hodnotě desítek milionů dolarů. Naproti tomu Lombrozo si myslí, že se krádeži dalo stejně tak zabránit, kdyby Bitfinex důsledně dodržoval svá vlastní pravidla a procedury. Má za to, že když jsou pravidla nesprávně implementována, vede to k vytvoření děr v systému a také administrativních omezení, která mají za následek, že je vlastníci účtů ingorují, aby si ulehčili práci.

„Nejslabším článkem systému nejsou počítače, nebo šifrování, ale lidé samotní.“

To samé se nyní dá říci o těch, kteří budou mít na starosti implementaci dalších návrhů.

V současnosti je napadení centralizovaných burz pro talentovaného hackera poměrně snadné, a může si tak přijít na stovky, tisíce, nebo dokonce stovky tisíc bitcoinů. Implementací sejfu pro každého uživatele by se takovýmto krádežím téměř zabránilo, myslí si Sirer.

Prozatím se vývojářská komunita soustředí na potvrzování transakcí a ukládání do bloků. Bezpečnost bitcoinových firem tak leží zejména na bedrech jejich vlastníků a také uživatelů, kteří si budou muset osvojit správné praktiky, vytvořit lepší pravidla a rozšířit osobní obzory.

Související

PŘIDEJTE SE DO DISKUZE