Напряжение среди инвесторов и участников сообщества EOS, пожалуй, достигло такого градуса, который не снился ни одному реалити-шоу с самой изощрённой «драматургией». Восемь дней назад Block.one выпустил EOSIO v1.0, три дня назад де-факто завершилась разработка mainnet. Но собственный блокчейн EOS всё ещё не работает, поскольку владельцы токенов так и не могут определиться с тем, какие кандидаты в итоге будут управлять обработкой транзакций. Для того, чтобы голосование состоялось, необходимо достичь минимального порога в 15% токенов, выделенных владельцами в качестве голосов. На момент подготовки материала «явка» составила 6,77% (данные EOSAuthority.com).

Однако сомнения пользователей можно понять: для того, чтобы проголосовать, им необходимо подтвердить статус владельца с помощью приватного ключа. И похоже, они не чувствуют, что их средства достаточно защищены.

В одном из telegram-чатов, посвящённых EOS, инвестор написал:

«Самый большой прокол запуска EOS в том, что стартап не понимает, что рядовые инвесторы не будут активно голосовать, когда на кону стоят их приватные ключи».

По информации CoinDesk, единственной программой с поддержкой функции голосования, прошедшей независимую ревизию, является CLEOS — инструмент в виде командной строки, созданный Block.one. Однако из-за высокой сложности работы для рядового пользователя, многим владельцам токенов EOS пришлось воспользоваться менее защищёнными вариантами.

Возмущение, вызванное этим фактом, сравнимо только с отсутствием у инвесторов чёткого понимания механизма голосования.

Несмотря на то, что было выпущено несколько утилит для упрощения процесса, часть пользователей обеспокоена тем фактом, что и это ПО не было подвергнуто проверке на безопасность. К тому же, даже самые добрые намерения разработчиков не исключают риски атак и мошенничества.

«Когда что-либо оказывается слишком сложным для людей, появляются злоумышленники, которые пытаются использовать эту слабость», — заявил Кшиштоф Шумны (Krzysztof Szumny), главный разработчик платформы для голосования Tokenika.

При этом, на выходе получается замкнутый круг: из-за обсуждения подобных гипотетических ситуаций пользователи ещё более скептически относятся к голосованию. В вышеупомянутом чате другой владелец токенов EOS написал:

«Уверен, я не единственный, кто ждёт 100-процентных гарантий безопасности предоставления приватных ключей для новых кошельков».

Иллюзия выбора

Но зачем вообще для голосования нужны приватные ключи?

Во-первых, приватный ключ подтверждает статус владения токенами и, в зависимости от их количества, присваивает голосу определённое значение, или его «вес».

«Приватный ключ необходим независимо от того, голосуете вы с помощью кошелька, командной строки или иных инструментов. Это обязательное требование для всех», — прокомментировал ситуацию Юди Леви (Yudi Levi), CTO и соучредитель Bancor — компании-кандидата на статус создателя блоков EOS с собственным средством голосования.

По сути, использование приватного ключа в данном случае напоминает стандартную авторизацию исходящей блокчейн-транзакции. Но остаётся вопрос: насколько уязвимы при этом пользовательские ключи.

Сооснователь EOS Canada — ещё одного потенциального поставщика блоков, также с собственной платформой для голосования, — Александр Бурже (Alexandre Bourget) считает, что актуальные решения представляют собой весь спектр: от крайне рискованных до абсолютно защищённых.

С одной стороны, командные строки типа CLEOS, минимизируют риски раскрытия приватных ключей, но взаимодействие с такими инструментами требует определённых навыков программирования. С другой стороны, любые обновления, добавляющие удобные для пользования интерфейсы, наносят удар по охранным механизмам. Дополнительную угрозу представляют сторонние интернет-ресурсы, объясняет Бурже:

«Есть сайты, которые запрашивают ваши приватные ключи, взамен обещая урегулировать процесс за вас. И это могут быть абсолютно добросовестные ресурсы, но это огромный, огромный риск, поскольку раз за разом мы видели, как добросовестные веб-страницы всё равно взламывали».

К тому же, большинство владельцев токенов EOS вложились в актив ещё на стадии ICO, а значит, есть вероятность того, что часть из них до сих пор не изменила настройки доступа к кошелькам. Другими словами, возможно, что большинство инвесторов привязали свои аккаунты только к одному приватному ключу, не воспользовавшись опцией генерации нескольких ключей.

И это придаёт хакерам дополнительный стимул к созданию фишинговых страниц.

Ложная тревога?

При этом, существует достаточно способов обезопасить вложения в EOS.

Бурже предложил пользователям создать специальный ключ для голосования без привязки к кошельку. Инструкции, которые объясняли бы, как это сделать, найти достаточно трудно; однако по словам Бурже, EOS Canada вскоре выпустит специальное пошаговое видео. До этого инвесторы могут воспользоваться одним из более простых решений проблемы.

Например, Леви советует «использовать загружаемое ПО для голосования с локальным запуском вне браузера, который делает процесс уязвимым к манипуляции со стороны тулбаров, ботнетов и прочих вредоносных программ».

Он также призвал людей пользоваться инструментами, созданными известными компаниями, подчеркнув, что «им есть что терять».

Так, несмотря на отсутствие сторонней проверки систем безопасности, компании-производители инструментов с открытым исходным кодом, таких как Scatter, Greymass, LiquidEOS и EOSC, предусмотрели меры защиты приватных ключей от раскрытия и ведут тщательное наблюдение за процессом голосования.

В свою очередь, Tokenika генерирует голос полностью автономно от подключения к Интернету, выходя в онлайн только для записи о фиксировании факта голосования.

«Для обеспечения максимальной защиты мы настоятельно рекомендуем не использовать приватные ключи, находясь онлайн», — сказал главный разработчик проекта, Шумны.

Тем не менее, полностью исключить вероятность незаконного доступа к устройствам и, как следствие, к ключам, нельзя.

«Важно быть уверенным в источнике и производителе инструмента, поскольку риск всё равно есть, и это гиблое дело, ответственности за подобное легко избежать», — предупреждает Бурже.

Шумны сделал акцент на том, что нельзя экспериментировать с защитой: необходимо сохранять бдительность при использовании приватных ключей и не торопиться участвовать в голосовании, чтобы избежать оплошностей:

«Важно рано или поздно проголосовать, но ещё важнее не сделать ошибку».

comments powered by HyperComments