Вот-вот будет раскрыта давняя биткоинская тайна.
Нет, это не личность Сатоши Накамото, речь идет о приватном ключе, который создатель криптовалюты доверил нескольким разработчикам Биткоина. Этот ключ активирует так называемую «систему аварийного оповещения» – текстовое предупреждение для разработчиков ПО, которое появляется в случае возникновения вероятности, что в ходе разработки что-то может повлиять на безопасность их средств.
Если вы не знали, система подобных оповещений ранее функционировала в сети Биткоина, однако ее деактивировали в 2016 году из-за проблем с безопасностью и частой путаницы в процессе использования.
«Система оповещения была частым источником недоразумений в отношении модели безопасности и «эффективного управления», – отметил известный публицист Bitcoin Core Грег Максвелл в своем письме от сентября 2016 года.
Некоторые члены сообщества думали, что ключ может быть использован для изменения сетевых правил, которые объединяют пользователей, однако это не так. Например, разработчик BitcoinJ однажды захотел применить ключ для контроля комиссий, в то время как сотрудник Bloq требовал у разработчиков Bitcoin Core использовать ключ для изменения сложности майнинга в сети.
Кроме того, разработчики были обеспокоены тем, что, если злоумышленники получат доступ к ключу, они смогут передавать ложные сообщения или намеренно вызывать панику в сообществе. Таким образом, для некоторых, раскрытие этого ключа, – решение, принятое участником Bitcoin Core Брайаном Бишопом, – назревало уже давно.
«Друзья, это будет интересное шоу», – написал Бишоп в твиттере, а затем последовала череда твитов, криптографически доказывающих, что он владеет секретным ключом, но пока полностью не раскрыл его.
Satoshi alert key's signature of sha256("I am not CSW. Unlike me, he can't sign with the Bitcoin alert key.") -> 304402205d9ee1b1697ce3722b92a0931aae10fb76ab07a624d61b27ba5af39e85a1653d0220520ed2e30ed1c89e5c876a4e7e8f9b04a8b43c3a37b55623cae964b3938f779a https://t.co/JwpEEt2dHI
— Bryan Bishop (@kanzure) 15 июня 2018 г.
Раскрытие ключа – последний шаг к разрушению системы. После того, как разработчики Bitcoin Core выпустили новый код в 2016 году без системы оповещения, в январе 2017 года было передано «окончательное сообщение о предупреждении изменения кода», которое уже невозможно аннулировать.
Тем не менее, закрытый ключ должен публично отразить, что нет никакой опасности для репутации тех разработчиков, которые его хранят. Бишоп сказал CoinDesk, что он планирует обнародовать ключ в ближайшее время, хотя он не уверен в точной дате. Он добавил:
«Пришло время. Я думаю, закрытый ключ будет раскрыт на конференции 3-4 июля Building On Bitcoin в Лиссабоне, хотя это еще не точно».
Опасность для альткоинов
Тем не менее, все не так просто, как кажется.
Обнародование ключа потенциально опасно для любых криптовалют, которые использовали более раннюю версию кода Биткоина для создания собственной валюты и не отключили механизм ключа оповещения в своем коде.
«Если подражатели не отключили систему оповещений и не изменили ключ предупреждения [открытый ключ], и если они не отправили «окончательное сообщение оповещения», то, как только ключ будет обнародован, каждый сможет посылать оповещения по другим сетям», - сказал Бишоп CoinDesk.
Это уже происходило ранее. Создатель Litecoin Чарли Ли только на прошлой неделе рассказал в Twitter, как малоизвестный протокол Feathercoin (который скопировал код Litecoin) получил предупреждение Litecoin об обновлении.
И хотя это не особенно гнусный пример, как сказал Бишоп, возможность контролировать оповещения, отправленные в разных сетях, «звучит опасно».
В письме от сентября 2016 года Максвелл сказал, что он уже потратил время на поиск «уязвимости» в кодовых базах других криптовалют и продолжит делать это дальше. Если будет обнаружено, что в них до сих пор содержится код ключа предупреждения от Биткоина, он сообщит этим проектам, чтобы они удалили этот код.
Максвелл заключил:
«В какой-то момент после завершения поисков я планировал раскрыть этот секретный ключ, устраняя любой дополнительный потенциал атаки на репутацию проектов и сводя на нет риск восприятия этого ключа как некоторый особо доверенный источник власти».
Репутация под ударом
Но спустя два года поисков ни Максвелл, ни любой другой разработчик Bitcoin Core не обнародовали ключ.
«Это то, что мы хотели сделать на протяжении нескольких лет, но так и не предприняли никаких действий», – сказал Бишоп.
На сегодняшний день, спустя столько времени, проекты, подверженные этой уязвимости, успели удалить код и обновить его. Хотя не стоит забывать, некоторые из этих стартапов могут уже и вовсе не иметь команду разработчиков, даже если пользователи все еще торгуют и используют их криптовалюты, что может означать одно – обновления кода не было. Тем не менее, Бишоп дал этим проектам последний шанс, отправив сообщения в Twitter и по другим каналам.
Колебания с раскрытием ключа на протяжении столь длительного срока также были связаны с тем, что Бишоп и другие разработчики были обеспокоены последствиями для их репутации. Например, если закрытый ключ был взломан и использовался для подписи сообщений с плохими намерениями, в этом можно обвинить одного из разработчиков Bitcoin Core, у которых, как известно, есть этот ключ.
«Дело в том, что никто не знает полного списка людей, у которых есть доступ к приватному ключу. Например, если ключ был скомпрометирован и использовался для подписи сообщений с плохими намерениями, в этом могут обвинить разработчиков Bitcoin Core, о которых известно, что они хранят этот ключ», – сказал Бишоп, подчеркнув, что более того, те неизвестные люди из списка, у кого есть ключ, могут обвинить известных держателей ключа в распространении мошеннических сообщений.
Недавно Бишоп использовал этот ключ (не раскрывая его), чтобы подписать простое текстовое сообщение, которое затем он опубликовал в твиттере, показывая, как можно использовать ключ с целью обмануть пользователей или вызвать путаницу в сообществе.
Кроме того, он сказал CoinDesk, что существуют другие давние уязвимости в настройке ключа, которые он планирует раскрыть позднее.
Таким образом, Бишоп заключил:
«Было бы лучше, если бы ключ был обнародован».
Читайте также:
– Первичный выпуск токенов на бирже становится реальностью
– Внешний аудит Tether показывает, что токены обеспечены долларами — с несколькими оговорками
