Насколько безопасны блокчейны? Когда как

Насколько безопасны блокчейны? По-разному

Блокчейн, технология распределённого реестра, стоящая в основе Биткойна, может оказаться намного более ценной в сравнении с поддерживаемой ей валютой. Но она ценна лишь настолько, насколько безопасна. Как только мы начинаем применять технологию распределённого реестра на практике, важно убедиться в том, что основные условия, которые мы подготавливаем, позже не подставят нас в плане проблем с безопасностью.

Чтобы осознать врождённые в технологию блокчейн риски безопасности, важно сначала понимать разницу между публичными и частными блокчейнами.

Как работают блокчейны

Биткойн полагается на публичный блокчейн, систему записи транзакций, позволяющую любому лицу записывать и считывать транзакции. Кто угодно может собирать и публиковать такие транзакции, при условии, что он может показать, что на эти действия потрачено существенное количество усилий, что можно продемонстрировать решив сложный криптографический паззл. Процесс, согласно которому сеть узлов удостоверяет запись предыдущих подтверждённых транзакций, и с помощью которого она подтверждает новые транзакции, известен как протокол консенсуса. Так как в экосистеме Биткойна ни один пользователь не имеет безоговорочного доверия для подтверждения транзакций, все пользователи следуют алгоритму, который подтверждает транзакции, путём предоставления программных и аппаратных ресурсов для решения проблемы с помощью грубой силы (т.е. решения криптографического паззла). Пользователь, нашедший решение первым, получает вознаграждение, и каждое новое решение, вместе с транзакциями, использованными для его подтверждения, формируют основу для следующего паззла, который предстоит решить.

Такая децентрализация и относительная свобода доступа привели к некоторым неожиданным последствиям: так как кто угодно может считывать и записывать транзакции, торговля на чёрном рынке взяла их за основу. Так как протокол консенсуса энергозатратен, большинство пользователей работают в странах с дешёвым электричеством, что приводит к централизации сети и возможности тайного сговора, а также делает сеть уязвимой к изменениям в государственной политике субсидирования электричества. Каждый из этих трендов привёл к усиленному интересу к частным блокчейнам, которые могут дать бизнесам большую степень контроля.

Частные блокчейны в основном используются в финансовом контексте и дают операторам контроль над тем, кто может читать подтверджённые транзакции в реестре, кто может вносить новые транзакции и кто может подтверждать их. Применение приватным блокчейнам можно найти в ряде рынков, где несколько игроков хотят участвовать одновременно, но не до конца доверяют друг другу.

Например, тестируются системы приватных блокчейнов, поддержвающих реестры земли и физических активов, торговлю ценными бумагами, а также распределение фондов прямых инвестиций. По мере развития и эволюции этих систем, они тоже могут столкнуться с неожиданными последствиями и некоторые из них отразятся на безопасности системы и активов, которыми она управляет или которые хранит.

Также, как в разработке программ или продуктов, учёт безопасности на ранней стадии в будущем уменьшает сложность проведения фундаментальных изменений в продукте с целью устранить брешь в безопасности.

Безопасность начинается с сетевой архитектуры

Насколько безопасны блокчейны? По-разному

Одно из первых решений, которые необходимо принять при создании приватного блокчейна, касается сетевой архитектуры системы. Блокчейны приходят к консенсусу на своих реестрах, т.е. списках подтверждённых транзакций, через коммуникацию, а коммуникация необходима для записи и подтверждения новых транзакций. Такая коммуникация происходит между узлами, каждый из которых держит свою собственную копию и информирует другие узлы о новой информации: новых внесённых или новых подтверждённых транзакциях. Операторы приватных блокчейнов могут контролировать, кому позволено управлять узлом, в том числе и способ соединения этих узлов; узел с бОльшим количеством соединений будет быстрее получать информацию. Таким образом, к узлам можно выдвинуть требование держать определённое количество соединений, чтобы считаться активными. Узел, который запрещает передачу информации, или передаёт некорректную информацию, должен быть идентифицируем и отключаем ради обеспечения целостности системы. Торговля ценными бумагами на частном блокчейне может предоставлять более-центральные (привилегированные) позиции в сети для постоянных трейдинговых партнёров, и может потребовать от новых узлов обеспечивать соединение к одному из этих центральных узлов в качестве меры безопасности чтобы убедиться, что он ведёт себя как и ожидалось.

Другая мера безопасности в разворачивании архитектуры сети заключается в том, как вести себя с несговорчивыми или периодически активными узлами. Они могут уйти в оффлайн по вполне безобидным причинам, но сеть должна оставаться структурированной для работы (для получения консенсуса относительно предыдущих подтверждённых транзакций и для корректной верификации новых) без тех узлов, что ушли в оффлайн, и она должна быть в состоянии быстро вернуть эти узлы на нужную скорость если они вернутся.

Протоколы консенсуса и Разрешения на доступ в Публичных vs. Частных блокчейнах

Насколько безопасны блокчейны? По-разному

Процесс, с помощью которого достигается консенсус (подтверждение транзакций путём решения математических паззлов) специально создан так, чтобы отнимать время, на данный момент в Биткойне он примерно равен 10 минутам. Транзакции не считаются полностью подтверждёнными на протяжении от одного до двух часов, после чего они оказываются достаточно “глубоко” в гроссбухе, чтобы создание конкурирующей версии гроссбуха, известной как “форк”, было невыгодным с точки зрения затрат вычислительной мощности.

Данная временная задержка является и уязвимостью системы, в том плане, что транзакция, которая изначально кажется подтверждённой, может со временем потерять этот статус; и существенной преградой использованию основанных на Биткойне систем для скоростных транзакций, таких как финансовая торговля.

В частном блокчейне, наоборот, операторы могут выбрать определённые узлы, которые будут заниматься подтверждением транзакций, и эти доверенные стороны будут ответственны за коммуникацию свеже-подтверждённых транзакций с остальной частью сети.

Ответственность за защиту доступа к этим узлам, а также за определение когда и для кого расширять список доверенных лиц, будет решением безопасности, сделанным оператором блокчейн системы.

Обратимость транзакций и защита актива в Публичном vs. Частном блокчейнах

Насколько безопасны блокчейны? По-разному

В то время, как блокчейн транзакции могут использоваться для хранения данных, главная мотивация биткойн транзакций – собственно, обмен биткойнами; цена валюты в краткосрочной перспективе постоянно колеблется, но в долгосрочной за последние пару лет она выросла более чем в пять раз. Каждая из транзакций в биткойне включает в себя текстовую строку, ассоциированную с отправляемыми биткойнами. Точно так, другие блокчейн системы записывают владение активами или долями участвующими в транзакции. В системе Биткойна, право владения демонстрируется через использование приватного ключа (длинная последовательность цифр, генерируемая для предоставления случайного и уникального результата), привязанного к платежу, и несмотря на ценность этих ключей, как и любые другие данные, они могут быть украдены или потеряны, точно как наличные. Такие кражи не являются провалом системы безопасности Биткойна, но провалом личной системы безопасности; кражи становятся результатом небезопасного хранения ключей. Некоторые подсчёты указывают на невосполнимую утрату доступа к биткойнам на сумму $950 миллионов.

Операторы частного блокчейна, таким образом, должны понять, как решить проблему потери идентификационных данных, в частности для систем, которые управляют физическими активами. Даже если никто не может доказать право на владение баррелем нефти, баррелю придётся куда-то деться. Биткойн в данный момент не предоставляет никаких ресурсов для тех, кто утратил приватные ключи; аналогичным образом, украденные биткойны почти невозможно восстановить, ведь транзакции, подписанные украденным ключом и полученные подтверждающим узлом, для него неотличимы от легитимных (т.е. отправляемых изначальным владельцем ключа – прим. пер.) транзакций.

Владельцы частного блокчейна будут выбирать, стоит ли, и при каких обстоятельствах, откатывать подтверждённую транзакцию, в частности если такая транзакция окажется кражей. Откат транзакций может подорвать уверенность в честности и беспристрастности системы, но система, разрешающая существенные потери в результате эксплуатации багов, будет терять пользователей. Иллюстрацией этому служит недавнее событие с the DAO, фондом венчурного капитала, основанном на коде, разработанного для платформы Эфириум, публичной и основанной на блокчейне. Бреши в безопасности кода the DAO привели к финансовым потерям, которые потребовали от разработчиков Эфириума внесения изменений в сам протокол Эфириума, даже несмотря на то, что уязвимости the DAO не касались протокола Эфириума. Решение принять такие изменения было противоречивым, и подчёркивает ту идею, что разработчики и публичных и частных блокчейнов должны учитывать обстоятельства, согласно которым они столкнутся с аналогичным решением.

Взвешивая выгоды

Насколько безопасны блокчейны? По-разному

Выгоды, предлагаемые частным блокчейном – более быстрое подтверждение транзакций и коммуникацию с сетью, способность исправлять ошибки и откатывать транзакции, и способностью ограничивать доступ и уменьшать вероятность атаки извне – могут заставить перспективных пользователей узнать больше информации про систему.

Необходимость в блокчейн системе в общем предполагает градус недоверия, или как минимум понимание, что стимулы всех пользователей не могут быть одинаковы. Разработчики, которые работают над управлением публичных блокчейн систем вроде Биткойна, всё ещё полагаются на отдельных пользователей в плане принятия любых предлагаемых ими изменений, что служит гарантией принятия изменений лишь в случае удовлетворения ими интересов всей системы.

Операторы частного блокчейна, с другой стороны, могут выбрать самостоятельное внесение изменений, с которыми некоторые пользователи не согласятся. Чтобы убедиться в безопасности и полезности системы частного блокчейна, операторы должны учесть права, доступные тем пользователям, которые несогласны с изменениями в системе или слишком медленно действуют в плане принятия новых правил. Количество систем, работающих сегодня без установки последнего патча, является чётким указателем, что даже не противоречивые изменения не будут приниматься быстро.

В то время, как риски разработки финансового рынка или другой инфраструктуры на публичном блокчейне могут заставить новичка задуматься, частные блокчейны предлагают уровень контроля как над поведением участника, так и над процессом подтверждения транзакции. Использование системы, основанной на блокчейне, является признаком прозрачности и удобства такой системы, что подкрепляется принципом безопасности системы. Бизнесы будут решать, какие из их систем где лучше расположены – те, что на более безопасном частном интранете или те, что в общедоступном Интернете. Своё применение скорее всего найдут оба вида блокчейнов: где требуется быстрота транзакции, возможность её отменить, и централизованный контроль за её подтверждением, лучше подойдут приватные блокчейны; там, где важнее широкая вовлеченность масс, прозрачность и подтверждение третьими сторонами, будут использоваться публичные блокчейны.

Источник



Рубрики:DApps, Анализ, Виталик Бутерин, Майнинг, Новичкам, Футурология, Ethereum, смарт-контракты

Метки: ,

1 reply

Trackbacks

  1. Кто контролирует блокчейны? — EthereumClassic

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s