SSL-сертификат – это цифровая подпись сайта, реализующая безопасное соединение между сервером домена и браузером пользователя. Обеспечивает надежную защиту данных – информация передается в закодированном виде по протоколу https. Расшифровать ее можно с помощью специального ключа, известного только владельцу сертификата.
SSL-сертификаты выдаются удостоверяющими центрами. Чем более известен и компетентен удостоверяющий центр, тем меньше риск, условно говоря, перехвата данных при общении с сайтом домена. Некоторые наиболее профессиональные:
– SSL-сертификаты Symantec;
– SSL-сертификаты Comodo;
– SSL-сертификаты GeoTrust;
– SSL-сертификаты Thawte;
– SSL-сертификаты RU-CENTER и другие.
Найдите сертификат сайта «бумкоин.домен» в левом верхнем углу открытой страницы браузера. Нажмите на «зеленый» замок, убедитесь в актуальности сертификата. Прочитайте кем, когда и кому выдан SSL-сертификат домена, распространяющего ICO токены. Сомнения должны быть развеяны.
Продолжая пассивно исследовать сайт токена ICO, можно применить некоторые следующие вполне легальные инструменты.
Монитор защищенности сайтов webbez.ru предоставляет услуги по обнаружению и исправлению типичных уязвимостей и недостатков вэб-сайтов для их владельцев. Ресурс предлагает получить расширенное досье на сайт за 15 секунд. На странице PageScan ресурса вводим имя исследуемого сайта «бумкоин.домен», получаем техническую информацию о структуре сайта, программах, на которых он базируется и ошибках, если такие имеются. По этой информации ИТ-специалист сможет определить некоторые уязвимости сайта токена ICO.
В Интернете можно найти целый ряд онлайн-сканеров для анализа, интересующего нас, вэб-сайта. Другой онлайн ресурс для тесного знакомства с сайтом токена ICO это rescan.pro. Этот сканер верхнего уровня сообщает об опасных кодах, вирусах в скриптах, о наличии сайта в списке вредоносных и прочих ошибках на ссылках и страницах исследуемого сайта.
Прекрасным автономным инструментом для всестороннего анализа вэб-сайта является бесплатная утилита FOCA Free 3.0 для Windows. Полученный с помощью FOCA подробный отчет, передайте для анализа специалисту. Он оценит риски для сайта в пределах своей компетенции, а вы получите информацию, которая вам необходима для безопасного инвестирования в новый проект.
Значительный объем информации о компании ICO можно получить из открытых источников. Для сбора информации и последующей оценки риска можно использовать не только Google, но и другие поисковые системы, например, Yahoo, Bing и т.п. Для эффективного сбора и выявления интересующих данных рекомендуем грамотно применять операторы поиска. С приемами использования операторов поиска Google можно ознакомиться по этой ссылке http://www.google.com/help/basics.html. Важно отметить, что сайт токена ICO и сайт компании, проводящей ICO, могут различаться между собой.
В нашем примере, следующим шагом можно направить фокус поиска, применив оператор site. Наберите в строке поиска Google строку site:бумкоин.домен , тем самым представляется возможным ограничить вывод результатов только внутренней информацией домена «бумкоин.домен».
Добавьте в ту же командную строку ключевые слова «уязвимость», «взлом» или другие, значимые по вашему мнению, и тогда станут доступны негативные или позитивные сведения с сайта «бумкоин.домен». Например, “site:бумкоин.домен взлом”.
В Интернете можно найти множество профессиональных ресурсов и программ для исследования сайтов, но разумно ограничиться поиском в рамках требуемых целей и задач. Изучите некоторые операторы поиска и комбинируйте их с ключевыми словами. Пробуйте поисковые ресурсы, отличные от Google, для получения информации разными поисковиками (достаточно полный список можно найти на http://www.searchenginecolossus.com).
Для первого и последующих контактов с компанией ICO заведите специальный уникальный почтовый ящик. Финансовые вложения через Интернет и переписка по этим вопросам должны быть надежно защищены и отделены от личной почты. Это разумно, легко и, к тому же, бесплатно.
Начните регистрацию в личном кабинете на сайте токена ICO с помощью вашего нового уникального почтового ящика. Решите, указывать ли полные настоящие персональные данные. Напишите короткое приветственное письмо на адрес службы поддержки сайта, указанный в вашем личном кабинете. Оцените ответ, который вы получите, а также быстроту и время ответа на ваше письмо. Сделайте выводы, если ответа не получите вовсе.
Внимательно осмотрите ваш личный кабинет. Важно, чтобы имелась обязательная возможность смены (change password) первоначального пароля для входа, с которым вы регистрировались. Измените первоначальный пароль, прежде чем вкладывать финансовые средства. Тема выбора пароля особенно критична, так как одинаковые пароли к вашим различным кабинетам (почта, вход в компьютер, логины в другие удаленные ресурсы и пр.) недопустимы. Установив по привычке «старый» пароль, вы приобретаете существенный риск взлома вашего личного кабинета для токенов ICO. Это происходит потому, что степень защищенности у различных ресурсов может значительно отличаться. Один слабый скомпрометированный пароль к почтовому ящику с новостями потянет за собой «на дно» ваши финансовые проекты, если пароли у личных аккаунтов будут одинаковые.
Настоятельно рекомендуем пароль длиной не менее 12 символов и включающий в себя три алфавита (a, A, @). Пароль обычно не хранится на серверах проекта ICO, поэтому, если вы забудете его, восстановление будет невозможно. Запишите пароль на бумажный лист, положите в конверт и спрячьте в личный сейф. При смене пароля, потрудитесь внести измененные данные в тот же лист. Верните лист в конверт, конверт в сейф.
Если в личном кабинете существует опция 2-шаговой (двойной) верификации, то непременно воспользуйтесь ею. При некоторых неудобствах подтверждения вашей личности, опция двойной верификации (э-почта, смс, Google-идентификатор и пр.) дает многократное повышение безопасности доступа в ваш личный кабинет.
В личном кабинете вам будет представлен номер кошелька (один или несколько) – это ваш уникальный идентификатор. Он полностью индивидуален и будет использоваться вами для финансовых операций со средствами кошелька. Не сообщайте никому ID своего кошелька, если не проводите конкретную операцию покупки/продажи криптовалюты.
Ознакомьтесь с предложениями по проекту и с дополнительными опциями в личном кабинете, где таковые имеются. Особенное внимание обратите на комиссионные платежи при операциях и условия вывода средств. Оцените риск «замораживания» ваших финансовых средств без движения. Лучше иметь возможность вывести средства с комиссией, чем оставить средства навсегда в случае краха проекта ICO по независящим от вас причинам.
О безопасности собственного рабочего места участника ICO мы расскажем позже в главе 6.
Мир цифровых коммуникаций стремительно меняется и причиной тому расцвет публичных блокчейнов в финансах, торговле, юриспруденции, здравоохранении. Чтобы функционировать в мировом масштабе, практичный повсеместно используемый взаимозачет нуждается в блокчейне с эффективными, функциональными и безопасными соглашениями. Реализация методик этих соглашений должна стремиться к отсутствию рисков. Рассмотрим различные типы методик достижения консенсуса, которые могут участвовать в проекте ICO, от наиболее востребованных до экзотических.
Доказательство работы (proof of work, PoW)
Наиболее распространена методика, такая как «доказательство работы» в биткойне, с которой мы чаще всего сталкиваемся и взаимодействуем. Она выполняет две вещи: дает гарантию, что следующий блок в блокчейне (цепочке) всегда уникален и притом является единственно верным артефактом, что и удерживает всесильных участников-оппонентов от подмены системы и возможного разветвления блокчейна (цепи блоков).
Починяясь «доказательству работы» создатели монет (майнеры) конкурируют за добавление следующего блока (набора транзакций) в цепочку, участвуя в соревновании посредством решения чрезвычайно сложной криптографической задачи. Первый, кто решил головоломку, выигрывает эту лотерею. За свои усилия в качестве вознаграждения майнер получает цепочку из 12,5 новых биткойнов и небольшую комиссионную плату.
Хотя это уникально само по себе, тем не менее методика, применяемая в биткойне, не совсем совершенна. Важным моментом является обязательное существование большой совокупной мощности сети для защиты от одного потенциального злоумышленника, желающего завладеть 51% ресурсов сети.
Разрастаясь, класс криптовалют с «доказательством работы» превратился в чудовище, пожирающее электричество в гонке за прибыльностью майнинга. Серьезные претензии о бесполезной трате электроэнергии небезосновательны, но пока практически игнорируются.
Основные критические замечания состоят в том, что такой методический подход требует огромных вычислительных ресурсов, что он недостаточно оптимизирован (подтверждение транзакции занимает около 10-60 минут), и что большая часть добычи централизована в районах мира с дешевым электричеством.
Неуловимый автор Bitcoin (BTC) Сатоши Накамото воодушевил нас потенциалом блокчейна, но это не значит, что у нас отсутствует способность продолжить поиск более быстрых, менее централизованных и более энергосберегающих процессов с методиками, перспективными в будущем.
Опишем далее нескольких альтернативных подходов, которые прорастают в мире криптовалют и ICO проектов.
Доказательство доли (proof of stake, PoS)
После «доказательства работы» наиболее распространенной является методика «доказательство доли». В этом согласующем процессе вместо того, чтобы инвестировать в дорогостоящее компьютерное оборудование по соревнованию добытых блоков, собственник опирается на инвестиции в «монеты» системы.
Поясним появление термина «собственник». Поскольку в «доказательстве доли» не существует никакой добычи монеты (майнинга), а все монеты уже созданы с самого начала процесса, то собственники (также называемые участниками, потому что они держат долю в системе) получают платежи строго как сборы за выполнение транзакций.
В «доказательстве доли» шанс быть выбранным для генерации следующего блока зависит от величины доли монет в системе (или отложенной для получения). Собственник 200 монет имеет в двадцать раз больше шансов быть выбранным, чем собственник 10 монет.
По сути, процесс «доказательства доли» является таким же случайным, как и «доказательство работы». Однако, он не содержит необходимости «платить» вычислительной мощностью за выигрыш. Перебор вариантов для выигрыша происходит среди ограниченного множества комбинаций и почти не зависит от производительности CPU. На вероятность выиграть влияет суммарное число монет собственника и сложность существующей сети. Кроме того, атака на 51% монет (а не захват мощности сети) заставит рынок реагировать на скупку быстрым ростом цены, потому что одноразовое приобретение 51% монет выполнить практически невозможно.
Против «доказательства доли» часто звучит мнение, что этот процесс «делает богатых богаче». И в самом деле: тот, у кого больше всех монет, будет находить больше всех блоков и получать больше всех прибыли, увеличивая число этих монет. Очевидно, что в таком ключе этот упрек можно высказать и методике «доказательства работы»: ведь тот, кто вложил большие деньги в железо, будет получать отдачу в виде большего дохода. Представителями «доказательства доли» являются криптовалюты Waves (WAVES) и Lisk (LSK).
Peercoin (PPC) был первой монетой, c выполнением «доказательства доли», за которой последовали BlackCoin (BLK) и Nxt (NXT). Ethereum (ETH) в самом начале опирался на «доказательство работы», но планирует перейти к «доказательству доли» (проект Casper).
Доказательство депозита (proof of deposit, PoD)
Разновидностью процесса «доказательства доли» является «доказательство депозита», где майнеры блокируют определенное количество монет (депозит), которые они не могут потратить в период своей работы, причем собственник, вбросивший в сеть некорректный блок не только лишается права на майнинг, но и автоматически лишается права на свой депозит. Одной из таких систем является Tendermint, где сила голоса майнера пропорциональна количеству монет, которые он внес на депозит.
После создания блока собственником, этот блок все равно должен быть привязан к цепочке блоков. Различные системы проверки подлинности характеризуются тем, как они справляются с проверкой. В системе Tendermint каждый узел системы должен подписывать блок до тех пор, пока не будет достигнуто большинство голосов, тогда как в других системах выбрана случайная группа подписантов.
Теперь у нас возникает проблема. Что должно препятствовать собственнику создать два блока и требовать два набора транзакционных сборов? А также, что можно противопоставить подписанию двух этих блоков?
О проекте
О подписке