Нож в спину или как EOS подвергает инвесторов опасности
Напряжение среди инвесторов и участников сообщества EOS, пожалуй, достигло такого градуса, который не снился ни одному реалити-шоу с самой изощрённой «драматургией». Восемь дней назад Block.one выпустил EOSIO v1.0, три дня назад де-факто завершилась разработка mainnet. Но собственный блокчейн EOS всё ещё не работает, поскольку владельцы токенов так и не могут определиться с тем, какие кандидаты в итоге будут управлять обработкой транзакций. Для того, чтобы голосование состоялось, необходимо достичь минимального порога в 15% токенов, выделенных владельцами в качестве голосов. На момент подготовки материала «явка» составила 6,77% (данные EOSAuthority.com).
Однако сомнения пользователей можно понять: для того, чтобы проголосовать, им необходимо подтвердить статус владельца с помощью приватного ключа. И похоже, они не чувствуют, что их средства достаточно защищены.
В одном из telegram-чатов, посвящённых EOS, инвестор написал:
«Самый большой прокол запуска EOS в том, что стартап не понимает, что рядовые инвесторы не будут активно голосовать, когда на кону стоят их приватные ключи».
По информации CoinDesk, единственной программой с поддержкой функции голосования, прошедшей независимую ревизию, является CLEOS — инструмент в виде командной строки, созданный Block.one. Однако из-за высокой сложности работы для рядового пользователя, многим владельцам токенов EOS пришлось воспользоваться менее защищёнными вариантами.
Возмущение, вызванное этим фактом, сравнимо только с отсутствием у инвесторов чёткого понимания механизма голосования.
Несмотря на то, что было выпущено несколько утилит для упрощения процесса, часть пользователей обеспокоена тем фактом, что и это ПО не было подвергнуто проверке на безопасность. К тому же, даже самые добрые намерения разработчиков не исключают риски атак и мошенничества.
«Когда что-либо оказывается слишком сложным для людей, появляются злоумышленники, которые пытаются использовать эту слабость», — заявил Кшиштоф Шумны (Krzysztof Szumny), главный разработчик платформы для голосования Tokenika.
При этом, на выходе получается замкнутый круг: из-за обсуждения подобных гипотетических ситуаций пользователи ещё более скептически относятся к голосованию. В вышеупомянутом чате другой владелец токенов EOS написал:
«Уверен, я не единственный, кто ждёт 100-процентных гарантий безопасности предоставления приватных ключей для новых кошельков».
Иллюзия выбора
Но зачем вообще для голосования нужны приватные ключи?
Во-первых, приватный ключ подтверждает статус владения токенами и, в зависимости от их количества, присваивает голосу определённое значение, или его «вес».
«Приватный ключ необходим независимо от того, голосуете вы с помощью кошелька, командной строки или иных инструментов. Это обязательное требование для всех», — прокомментировал ситуацию Юди Леви (Yudi Levi), CTO и соучредитель Bancor — компании-кандидата на статус создателя блоков EOS с собственным средством голосования.
По сути, использование приватного ключа в данном случае напоминает стандартную авторизацию исходящей блокчейн-транзакции. Но остаётся вопрос: насколько уязвимы при этом пользовательские ключи.
Сооснователь EOS Canada — ещё одного потенциального поставщика блоков, также с собственной платформой для голосования, — Александр Бурже (Alexandre Bourget) считает, что актуальные решения представляют собой весь спектр: от крайне рискованных до абсолютно защищённых.
С одной стороны, командные строки типа CLEOS, минимизируют риски раскрытия приватных ключей, но взаимодействие с такими инструментами требует определённых навыков программирования. С другой стороны, любые обновления, добавляющие удобные для пользования интерфейсы, наносят удар по охранным механизмам. Дополнительную угрозу представляют сторонние интернет-ресурсы, объясняет Бурже:
«Есть сайты, которые запрашивают ваши приватные ключи, взамен обещая урегулировать процесс за вас. И это могут быть абсолютно добросовестные ресурсы, но это огромный, огромный риск, поскольку раз за разом мы видели, как добросовестные веб-страницы всё равно взламывали».
К тому же, большинство владельцев токенов EOS вложились в актив ещё на стадии ICO, а значит, есть вероятность того, что часть из них до сих пор не изменила настройки доступа к кошелькам. Другими словами, возможно, что большинство инвесторов привязали свои аккаунты только к одному приватному ключу, не воспользовавшись опцией генерации нескольких ключей.
И это придаёт хакерам дополнительный стимул к созданию фишинговых страниц.
Ложная тревога?
При этом, существует достаточно способов обезопасить вложения в EOS.
Бурже предложил пользователям создать специальный ключ для голосования без привязки к кошельку. Инструкции, которые объясняли бы, как это сделать, найти достаточно трудно; однако по словам Бурже, EOS Canada вскоре выпустит специальное пошаговое видео. До этого инвесторы могут воспользоваться одним из более простых решений проблемы.
Например, Леви советует «использовать загружаемое ПО для голосования с локальным запуском вне браузера, который делает процесс уязвимым к манипуляции со стороны тулбаров, ботнетов и прочих вредоносных программ».
Он также призвал людей пользоваться инструментами, созданными известными компаниями, подчеркнув, что «им есть что терять».
Так, несмотря на отсутствие сторонней проверки систем безопасности, компании-производители инструментов с открытым исходным кодом, таких как Scatter, Greymass, LiquidEOS и EOSC, предусмотрели меры защиты приватных ключей от раскрытия и ведут тщательное наблюдение за процессом голосования.
В свою очередь, Tokenika генерирует голос полностью автономно от подключения к Интернету, выходя в онлайн только для записи о фиксировании факта голосования.
«Для обеспечения максимальной защиты мы настоятельно рекомендуем не использовать приватные ключи, находясь онлайн», — сказал главный разработчик проекта, Шумны.
Тем не менее, полностью исключить вероятность незаконного доступа к устройствам и, как следствие, к ключам, нельзя.
«Важно быть уверенным в источнике и производителе инструмента, поскольку риск всё равно есть, и это гиблое дело, ответственности за подобное легко избежать», — предупреждает Бурже.
Шумны сделал акцент на том, что нельзя экспериментировать с защитой: необходимо сохранять бдительность при использовании приватных ключей и не торопиться участвовать в голосовании, чтобы избежать оплошностей:
«Важно рано или поздно проголосовать, но ещё важнее не сделать ошибку».
comments powered by HyperComments
Источник: coinmarket.news