Технология блокчейн, которая сейчас также часто упоминается как «технология распределенных реестров» (Distributed Ledger Technology, DLT), стремительно захватывает сферу финансовых услуг. Последнее исследование фирмы Greenwich Associates (см. ) показывает, что компании сектора финансовых услуг вкладывают значительные средства в вывод этой технологии на рынок и оптимистично рассчитывают на то, что через два года она уже будет оказывать существенное влияние.
Тем не менее, сохраняются значительные препятствия, которые необходимо преодолеть, чтобы всё это стало реальностью: в первую очередь, это вопрос безопасности. В опубликованном сегодня новом отчете «Обеспечение безопасности блокчейна» (Securing the Blockchain - Полный текст в свободном доступе отсутствует, а с кратким резюме документа можно познакомиться здесь: или здесь: - Н.Х.), мы обсуждаем ряд ключевых тем, связанных с защищённостью блокчейна, включая достижение консенсуса, конфиденциальность транзакций и защиту закрытых ключей. Многие из этих вопросов находятся сейчас в центре внимания в свете последних событий.
Защита закрытых ключей
Безопасности закрытых ключей является сейчас особенно актуальной темой после недавнего взлома биржи Bitfinex, когда были украдены биткойны (криптовалюта используемая в блокчейн-системе Bitcoin – Н.Х.) на сумму около 70 миллионов долларов. Хотя точные подобности атаки пока что не раскрываются, ясно, что хакеры смогли каким-то образом получить доступ к закрытым ключам, на основе которых обеспечивается защита счетов клиентов, и украсть деньги с этих счетов.
Закрытые ключи можно рассматривать как секретные коды или пароли, подтверждающие право собственности на электронные активы. Технологическим компаниям, разрабатывающим блокчейн-системы с ограниченным контролируемым доступом (permissioned blockchains) для сферы финансовых услуг, необходимо будет полностью пересмотреть подход к использованию архитектуры безопасности multi-sig (подписание транзакцией с использованием не одного, а нескольких ключей – например двумя из трех – из которых под контролем пользователя может находиться один – Н.Х.) и «холодного» хранения (cold storage – закрытый ключ создается в автономном режиме и затем хранится в защищённом автономном хранилище, не подключенном к сети – Н.Х.), используемых в настоящее время биржами цифровых валют. Хотя эти решения могут быть высокозащищёнными, безопасность достигается за счет более низкой эффективности и более высоких административных накладных расходов. На самом деле к краже привела не сама технологии, а именно использовавшиеся биржей Bitfinex «короткие пути».
Неизменность
Встает ещё один вопрос - что может быть сделано после того, как атака произошла? Поскольку были украдены только цифровые активы, существующие исключительно в виде компьютерных кодов, то возможен «откат» блокчейна к версии до взлома.
С точки зрения блокчейна результат отката будет выглядеть так, как если бы взлома никогда и не было. Хотя в инциденте со взломом Bitfinex этот вариант действий не рассматривался, но именно так произошло в случае с блокчейном Ethereum («Эфириум»), когда злоумышленник попытался украсть цифровую валюту-«эфиры» (Ether) на сумму более 50 миллионов долларов. Эта мера была и остается крайне спорной, и она потребовала кооперации большинства участников сети. До сих пор одной из фундаментальных особенностей блокчейнов всегда была их неизменность – т.е. то, что они представляют собой отражающий все проводимые транзакции документ, который не может быть подделан или отменен.
В системах финансовых услуг сегодня имеются функциональные возможности для отмены транзакций: фондовые биржи оставляет за собой право аннулировать явно ошибочные сделки, выпускающие кредитные карты компании могут аннулировать мошеннические операции, и всё программные решения для поддержки торгов имеют возможность отменять и исправлять ошибки.
По мере развития решений для финансовых услуг на основе распределенных реестров, придётся решать вопрос о неизменности – может быть, акцент на неё - это ошибка, а не ключевая особенность? Или же отрасль должна внедрить функциональные возможности для сторнирующих транзакций, конечный результат которых эквивалентен отмене соответствующих операций, но при этом сохраняется полная история транзакций?
Смарт-контракты
Попытка украсть «эфиров» на 50 миллионов долларов вскрыла уязвимости по безопасности, связанные со смарт-контрактами - компьютерными программами, обеспечивающими выполнение условий договора и передачи средств между сторонами. В данном случае пострадал инвестиционный фонд (так называемый DAO), созданный на базе блокчейна «Эфириум» с помощью смарт-контрактов.
Ошибки в кодировании смарт-контракта позволила хакеру получить доступ к денежным средствам. Смарт-контракты рассматриваются как важная часть решений на основе распределенных реестров, они используются для управления обеспечивающим кредит имуществом, внебиржевыми производными инструментами и в ряде других приложений. Если смарт-контракт способен, например, инициировать поток платежей между банками и другими субъектами, его потенциальное воздействие может быть гораздо больше, чем 50 миллионов долларов.
Помимо потенциальных возможностей для взлома смарт-контракта, существует также вероятность программных ошибок в его коде, в результате которых он может сработать неверно и вызвать значительные ошибочные потоки платежей - мы уже видели на финансовых рынках подобные события, приведшие к большим потерям.
По этим причинам важно, чтобы отрасль совместно работала над формированием передовых практик и разработкой мер защиты и контроля, чтобы предотвратить события такого рода. В этом плане недавнее создание Альянса смарт-контрактов (Smart Contracts Alliance ) при Электронной торгово-промышленной палате (Chamber of Digital Commerce) является значительным шагом в правильном направлении.
Внедрение распределенных реестров в сфере финансовых услуг имеет значительный потенциал для сокращения затрат времени на взаимозачеты, снятия разногласий, снижения затрат и оптимизации рабочих процессов. Стремясь к достижению этих преимуществ, отрасль, однако, должна также сосредоточить внимание на вопросах безопасности. Цифровые активы и распределенные реестры представляют собой совершенно новый способ проведения транзакций – и, как следствие, нам потребуется новый подход к обеспечению защищённости блокчейнов.
Ричард Джонсон (Richard Johnson)
Источник: блог компании Greenwich Associates
