Dotychczas, jako firma, nie angażowaliśmy się w tematach związanych z Bitmarket’em, ale uważnie śledzimy rozwój sytuacji. Postanowiliśmy przedstawić kompleksowe, tanie w implementacji, bezpieczne dla giełd i użytkowników rozwiązanie które pozwoli stworzyć system wczesnego ostrzegania użytkowników o problemach z wypłacalnością giełd których używają.
Podczas rozmowy na temat bezpieczeństwa giełd, bardzo duży nacisk był kładziony problemy związane z audytami.
Merytoryczne podsumowanie propozycji wspomnianych w dyskusji zorganizowanej przez TJS:
- “Proof of keys” się nie uda - naszym zdaniem to oczywistość. Użytkownicy nie są w stanie zadziałać razem, sieć Bitcoin nie jest na tyle wydolna by wykonać tak dużą ilość transakcji, traderzy którzy zarabiają na ciągłych zmianach cen, nie będą tym zainteresowani a giełdy nie podołają obsłużeniu wszystkich swoich aktualnych klientów w ciągu jednego dnia.
- Audytor zewnętrzny jest niewiarygodny ze względu na to że jest zatrudniany przez giełdę i to ona płaci mu za wykonaną pracę. Musiałby mieć swojego audytora który również powinien był przez kogoś sprawdzony. Ta metoda jest również obarczona dużym kosztem po stronie giełdy, zarówno finansowym jak i biznesowym, ponieważ musiałaby wstrzymać swoje działanie operacyjne na czas audytu.
- Audyt cold wallet’ów poprzez ich publikację nic nie da - jak zwrócił na to uwagę Pan Suszek, audyt ten jest niepełny ponieważ nie znamy lewej strony bilansu, czyli wartości środków zapisanych w systemie giełdy. Poza tym, nie ma możliwości sprawdzenia czy giełda podała wszystkie swoje coldwallety, oraz czy te które podała są naprawdę jej.
Przemyśleliśmy ten problem i doszliśmy do rozwiązania które umożliwi prowadzenie ciągłego audytu, 24h/7. Nasze rozwiązanie pozwala na proste z punktu widzenia programistycznego upewnienie się że każda wpłata czy wypłata, jest natychmiast dostępna do publicznego wglądu, przy zachowaniu pełnego bezpieczeństwa po stronie giełdy oraz maksymalnej transparentności dla użytkowników.
Nasza propozycja audytu z niezależną weryfikacją (zdecentralizowany audyt):
Giełdy tworzą zakładkę "Audyt" na swoich stronach internetowych, w zakładce tej publikowany jest numer lub symbol każdej dokonanej na giełdzie transakcji wpłaty lub wypłaty kryptowalut, z linkiem do block explorera.
Nasz pomysł polega na tym, by numery transakcji z odnośnikiem do block explorera pojawiały się w jednym publicznym miejscu a każdy użytkownik który wpłaca lub wypłaca kryptowaluty, widział że jego transakcja jest uwzględniona na tej liście, z co za tym idzie, jest uwzględniona w audycie. Dzięki takiej publicznej bazie danych, kompletnej i zweryfikowanej przez społeczność, firmy z branży a nawet niezależni programiści będą mogli przygotować narzędzia do kompleksowego śledzenia wszystkich aktualnych portfeli giełdy, oraz będzie możliwe zbudowanie niezależnego od giełd narzędzia wczesnego ostrzegania o problemach ze środkami zdeponowanymi na giełdzie 24/7 z natychmiastowym czasem reakcji umożliwiającym błyskawiczne ostrzeżenie użytkowników na forach internetowych i w social media.
Giełdy nie będą musiały poświęcać czasu by stworzyć taki system, ponieważ już go mają. Informacja z giełdowym ID transakcji pojawia się po jej wysłaniu lub otrzymaniu wpłaty, z tą różnicą, że w tym momencie przychodzi ona tylko na email użytkownika lub pojawia się w panelu po dokonaniu wypłaty. Nie każdy użytkownik musi sprawdzać czy jego transakcja znajduje się w audycie, ale wystarczy jeśli zrobi to niewielki procent, w losowym czasie, by wykryć ewentualne ukryte portfele giełdy z których dokonywany jest np. handel na innych giełdach, arbitraż, czy inne niezgodne z regulaminem operacje. Wystarczy że jedna transakcja, jednego użytkownika nie zostałaby ujęta w tym zestawieniu a natychmiast byłoby wiadomo że "coś jest nie tak" i można by szybko podnieść alarm i ogłosić go w społeczności domagając się jej publikacji a tym samym, ujawnienia ukrytego cold wallet’a, aby go zbadać. W przypadku odmowy przez giełdę, zostanie wszczęte śledztwo przez użytkowników i specjalistów od bezpieczeństwa, którzy ustalą sposób postępowania ze środkami klientów.
Przykładowa strona umożliwiająca zdecentralizowany audyt :
Pozytywne cechy zdecentralizowanego audytu:
- Zachowane bezpieczeństwo po stronie giełdy, żadna osoba nie jest wpuszczana do firmy, nie musi znać procedur bezpieczeństwa.
- Natychmiastowe raportowanie o aktualnych wszystkich coldwalletach firmy wraz z ich adresami i saldami (można je łatwo wyciągnąć parserami które automatycznie wyizolują ich adresy na podstawie linków do wpłat i wypłat umieszczanych w audycie).
- Natychmiastowe lokalizowanie dużych nietypowych transferów z giełd oznaczających potencjalne włamania czy wyprowadzenie pieniędzy.
- Zebrane i uporządkowane dowody dla prokuratury w postaci dokładnej listy transakcji, obrotów oraz szybkie stwierdzenie o skali ataku/przestępstwa.
- Łatwość sprawdzenia audytu przez każdego z użytkowników, oraz rzetelności jego prowadzenia poprzez wyszukanie własnej transakcji na liście publicznej.
- Anonimowość audytu użytkowników - na liście znajdzie się tylko ID transakcji z linkiem do block explorera - te dane tak czy inaczej są publicznego wglądu. Zawierają wszystkie ważne informacje które są niezbędne do błyskawicznej analizy problemu.
Audyt byłby zdecentralizowany, ponieważ każdy użytkownik mógłby sprawdzić czy jego wpłata znajduje się na publicznej liście. Publiczna forma raportu dałaby możliwość stworzenia oprogramowania przez firmy zajmujące się bezpieczeństwem, które będzie raportowało o nietypowych ruchach środków, natychmiast informując społeczność. Dałoby to szansę na sprawdzenie czy giełda nie posługuje się środkami klientów używając ich do arbitrażu lub do grania nimi na innych giełdach, czy padła ofiarą ataku, jakiej skali jest to atak, dokąd zostały wysłane środki i kiedy to się stało. Da to komplet informacji potrzebnych do prowadzenia śledztwa przez powołane do tego służby, pozwoli uniknąć długiego i czasochłonnego zbierania dowodów.
W wersji bardziej profesjonalnej, ale wymagającej od giełd większej ilości pracy, mogą one stworzyć publiczne API zwracające informacje o konkretnych transakcjach w celu ułatwienia dostępu do nich osobom, firmom i instytucjom zainteresowanym śledzeniem stanu giełd. Jesteśmy pewni, że duże i popularne giełdy, ze względów prestiżowych, byłyby zainteresowane budową takiego rozwiązania, ponieważ mogłyby używać go do odpierania często niesprawiedliwych ataków na własny wizerunek. Zdajemy sobie sprawę z faktu że to dodatkowa praca dla giełdy, łatwo będzie przekonać je że warto zainwestować nieco czasu by zyskać pełną transparentność, a wraz z nią, zaufanie użytkowników.
Apelujemy do wszystkich wpływowych osób z branży, by razem naciskali na giełdy, aby doprowadzić do uruchomienia zdecentralizowanego audytu, którego formę prezentujemy powyżej.
My, firma HODLER.TECH, zajmująca się rozwojem bezpiecznych rozwiązań w naszym portfelu HODLER Pro, jesteśmy w stanie, stworzyć system powiadamiający użytkowników naszego portfela o podejrzanych operacjach odbywających się na giełdach które wdrożą nasze rozwiązanie. Poprzez publiczne API możemy przekazać te informacje wszystkim innym podmiotom działającym na rynku kryptowalut, co łącznie stworzyłoby bardzo wydajny system wczesnego ostrzegania o problemach z giełdami. Bardzo chętnie zaprezentujemy pomysł zdecentralizowanego audytu w mediach branżowych jeśli wyrażą chęć jego promocji. Jeśli wspólnie nadamy rozgłos temu pomysłowi, możemy wywrzeć większy nacisk na giełdy byśmy jako pierwszy kraj na świecie byli jego autorami i beneficjentami.
Zachęcamy do publikacji niniejszego pomysłu w wątkach giełd na forach internetowych, jako artykułu na portalach branżowych oraz komentowania tego pomysłu przez znanych youtuberów. Chętnie nawiążemy też kontakt z przedstawicielami IGBINT, jeśli również podpiszą się pod naszym pomysłem. Możecie stworzyć swoją “listę ostrzeżeń” i bardzo szybko umieszczać na niej podejrzane ruchy giełd i kantorów, oraz umożliwić użytkownikom wpisanie się na listę powiadomień o ewentualnych, podejrzanych ruchach na sms czy email.
