В позапрошлом году из децентрализованного «автономного» инвестиционного фонда The DAO похитили $50 млн. В июле 2017 г. хакеру удалось украсть эфира на $31 млн, воспользовавшись багом в кошельках Parity. Теперь мы столкнулись с самым худшим взломом на данный момент, только в этот раз ставки ещё больше, и всё дело в одной большой ошибке.
6 ноября 2017 г. пользователь Devops199 открыл в депозитории Parity на Github ветку о проблеме под заголовком «Любой может убить ваш контракт», желая сообщить Parity, компании, предоставляющей смарт-контракты для пользователей сети Эфириума, об уязвимости в её смарт-контракте.
Он имел в виду «контракт мультиподписей», используемый многими в качестве «цифрового кошелька» для безопасного хранения эфира. Очевидно, в коде этого кошелька был «баг». Благодаря багу, или, лучше сказать, уязвимости безопасности, Devops199 смог сделать себя одним из «владельцев» контракта. Так он получил разрешение делать практически что угодно.
На днях целый ряд известных экспертов по безопасности и профессоров криптографии воспользовались Твиттером, чтобы обратиться к инвесторам с призывом не вкладывать деньги в криптовалюту IOTA, а разработчикам — не сотрудничать с проектом в вопросах повышения безопасности системы.
Посты с обращением появились в Твиттере вскоре после того, как группой внешних экспертов по безопасности была обнародована переписка среди участников сообщества IOTA, отразившая явно негативную реакцию разработчиков на раскрытие критического недостатка в одном из криптографических «строительных блоков» платформы. В частности, в электронном послании основателя IOTA Сергея Иванчегло (Sergey Ivancheglo) члену группы безопасности из Бостонского университета содержатся угрозы судебного преследования, что вызвало у многих научных исследователей осуждение данного проекта.
В числе осудивших поведение команды IOTA находится Мэтью Грин (Matthew Green), эксперт по прикладной криптографии из Университета Джона Хопкинса, являющийся одним из создателей популярной криптовалюты с открытым исходным кодом Zcash.
Германия стала одной из первых стран ЕС, которая на правительственном уровне определилась с регулированием криптовалютной индустрии и статусом биткоина.
По результатам переговоров с регулирующими органами во вторник, 27 февраля, федеральное министерство финансов Германии (BMF) подписало постановление о признании биткоина законным платежным средством, приравняв его к традиционным фиатным валютам и освободив от налогообложения.
При этом размер платежей за товары или услуги устанавливает продающая сторона, а курс биткоина должен выражаться в национальной валюте государства, на территории которого проходит сделка.
Конвертация фиатных валют в биткоины не будет облагаться налогом, однако распорядитель предприятия должен задокументировать интернет-ресурсы, которые он использует для определения курса первой криптовалюты в режиме реального времени.
Стоит отметить, что в BMF не намерены регулировать майнинговую индустрию. Ведомство подчеркивает, что добыча майнерами новых биткоинов не является оплатой за их работу, поскольку определить конечного потребителя в данном случае невозможно.
Перед новым годом в Washington Post вышел материал о последствиях ухода американских крайне правых в криптовалюты. Когда радикалы в США столкнулись с отказами в обслуживании по морально-этическим причинам со стороны коммерческих служб веб-хостинга, рекламы и продвижения в интернете, они стали принимать пожертвования токенами и ими же расплачиваться за услуги. Статья описывает это как способ пролезть под официальными ограничениями, но также в ней упоминается неожиданный косвенный доход, который крайне правые получили из-за быстрого роста криптовалют.
Криптоанархисты порадовались бы подобному примеру использования технологий для того, чтобы уйти из-под всевидящего ока государства, но мне вспомнились другие отчасти похожие случаи. Прошлой весной в качестве курьеза в СМИ промелькнуло сообщение о том, как некая опальная баскская группа исчезла с радаров вместе со сбережениями в альткоинах, потому что они оказались достаточно прибыльными и анонимными.
Чем вести борьбу с государством, решили радикалы, лучше вести жизнь революционеров-теоретиков на пенсии в какой-нибудь теплой стране, читать мемуары Че Гевары или Кропоткина, лежа на пляже в шезлонге и наслаждаясь, допустим, дайкири. Пару месяцев спустя в деловой прессе упоминался пример пиратов в одном из осколков Сомали, южном Джубаленде. Там объяснимо плохо с банками и вообще финансовой инфраструктурой. Но мобильная связь оказалась распространена в достаточной мере, чтобы позволить иметь криптокошелек и проводить транзакции, а следовательно — торговать потенциально со всем миром.
Когда вы смахиваете профили людей в Tinder, вы не думаете: «Сейчас я создам TCP-пакеты и отправлю их по IP. Надеюсь, что они дойдут до телефона этого симпатичного парня». Скорее всего вы думаете что-то вроде: «Смахну-ка я этого симпатичного парня Лео».
Я привожу в пример Tinder, чтобы показать всю силу многоуровневой архитектуры. Вы можете смахнуть Лео, потому что Интернет состоит из уровней, которыми вы можете «свободно» пользоваться и которые включают вас, Tinder, ваш телефон, приложения и ваш браузер. Дисклеймер: я не пользуюсь Tinder, поэтому не уверен что «смахивать» — подходящий для этого действия термин. А статья эта о Биткойне.
Итак. TCP/IP состоит из четырёх уровней: уровня связи, интернет-уровня, транспортного уровня и прикладного уровня. Сейчас нам интересны лишь последние два уровня. Информация в Интернете передаётся через транспортный уровень. Ваш браузер, Tinder, ваш почтовый клиент или даже камера безопасности у вашей входной двери, используют транспортный уровень, чтобы перемещать информацию. Вся сила этой системы становится понятна, если её определение немного перефразировать: приложениям не нужно изобретать, поддерживать собственные сети, провода и протоколы или управлять ими. Они могут просто сказать транспортному уровню: «Послушай, я хочу смахнуть Лео, можешь ли ты передать это серверам Tinder (чтобы они отправили Лео необходимую информацию)?»
Первое профессиональное агентство по оценке цифровых активов Digital Rating Agency (DigRate) и страховая компания «Центральное страховое общество» подписали соглашение о сотрудничестве в сфере страхования частных инвестиций в первичные размещения монет (ICO). Продукт обещает стать первым в мире страховым пакетом от лицензированной страховой компании для желающих вложиться в криптопроекты. Об этом журналу ForkLog сообщили представители DigRate.
Страховаться будут инвестиции в проекты, которым DigRate присвоит высший инвестиционный рейтинг A1 и A2. Предполагается, что стоимость страхового покрытия для проектов с рейтингом А1 будет стоить для клиентов на уровне 3% от суммы инвестиций, для А2 – 4,5%. Если к указанной в договоре дате токены не будут котироваться на биржах или будут стоить дешевле, чем на момент инвестиций, инвестор сможет обменять их на полную сумму возмещения в страховой компании.
Суммарный лимит страховых полисов по одному проекту предполагается установить в размере $20 млн.
С развитием блокчейна все больше компаний заинтересованы в возможностях, которые предоставляет новая технология. Одной из наиболее перспективных считается использование смарт-контрактов — алгоритмов, которые обеспечивают автоматическое выполнение условий коммерческих сделок. Мы рассмотрели данную технологию, платформы смарт-контрактов, а также сферы деятельности, которые могут применять их.
Смарт-контракт или умный контракт — это специальный протокол, который используется для заключения и выполнения коммерческих сделок, проведения транзакций и обмена активами между сторонами без участия третьих лиц. Смарт-контракты автоматически выполняют все условия договора, а также содержат информацию об обязательствах сторон и санкциях за их нарушение.
Впервые идея смарт-контракта была описана в 1994 году известным ученым в области информатики и криптографии Ником Сабо, но практическое применение она получила только 14 лет спустя с появлением блокчейна. Уже тогда в алгоритм блокчейна Bitcoin были заложены принципы выполнения смарт-контрактов, однако они не были реализованы в клиентском программном обеспечении из соображений безопасности.