Есть такие проекты, чьи жизненные силы подпитывают исключительно идеи об их — светлом, разумеется, — будущем. Одной из таких движущих идей является интеграция с «интернетом вещей» — средой, в которой всё, включая наручные часы, холодильники и автомобили, подключено к сети и как бы «взаимодействует» между собой. К примеру, специальный сенсор на молочной упаковке в вашем холодильнике может заказать себе «замену», как только обнаружит, что молоко заканчивается.

Обещая объединить «умный» потребительский сектор и блокчейн-технологии, IOTA привлекла к себе немало внимания — комбинация такого рода действительно способна сделать рынок более открытым. На IT-конференциях в Нью-Йорке можно часто услышать, как разработчики восторженно отзываются о концепте IOTA, так называемом «блокчейне без блокчейна» или «клубке», уверенно утверждая, что за ним — будущее индустрии.

IOTA не только продвигает себя как силу, способную разрушить саму идею централизованного хранилища и сделать бизнес более эффективным в плане затрат и времени, но и как панацею от всех болезней блокчейна; в особенности, от проблем с масштабированием, из-за которых цепь засоряется ненужной информацией, растут сборы, а сама сеть потребляет слишком много энергии.

«Дело, очевидно, в том, что IOTA — первый проект который пошёл дальше блокчейна. Мы избавились от майнеров. В процессе мы устранили самую больную точку всех транзакций — сборы», — сообщил в интервью CoinDesk сооснователь IOTA Дэвид Сонстебо (David Sonstebo).

Свои смелые заявления компания закрепила за счёт сотрудничества с крупными ведомствами и предприятиями, такими как Volkswagen и администрация города Тайбэй (столица Тайваня). Однако «вся королевская рать» IOTA в лице 150 разработчиков, криптографов и прочих специалистов не всегда выдерживала нужный градус последовательности, зачастую неадекватно реагируя на критику, в особенности по отношению к защищённости их цепи.

Уже сейчас множество экспертов задаются вопросом: сможет ли IOTA воплотить свои идеи в жизнь, и, если нет, то что станет с пользователями и инвесторами, которые подняли капитализацию компании до $2,7 миллиардов?

«От этого, на самом деле, волосы встают дыбом. Ужасно, что у них такая высокая капитализация», — заявил Авив Зоар (Aviv Zohar), криптоисследователь и старший преподаватель Еврейского университета в Иерусалиме.

Коллеги Зоара уже указали на множество недостатков IOTA, но он считает, что это не предел, а значит, компанию ждёт ещё много критики. И наверное, многие согласятся с его словами: «IOTA — это валюта, которую мне нравится ненавидеть».

Стычки с MIT

Среди его сторонников — учёные из Массачусетского технологического института (MIT). Именно после публикации исследования рабочей группы Digital Currency Initiative стали появляться обвинения в «дырявом» коде IOTA.

Как утверждают исследователи, создатели IOTA собственноручно разработали и внедрили уникальную функцию хэширования, что в среде криптографов не приветствуется: в индустрии негласным правилом считается использование тщательно изученных и доведённых до совершенства уже существующих функций. Разработчики IOTA, в свою очередь, сообщили, что решение было принято намеренно с целью избежать «кражи» открытого исходного кода.

В ответ исследователи указали на отсутствие в рассуждениях компании какой-либо логики, поскольку открытый код называется открытым именно потому, что сторонние разработчики имеют к нему свободный доступ и могут его копировать:

«Разработчики IOTA так и не смогли мне ответить, почему они считают, что с их небезопасной хэш-функцией всё в порядке», — написал в Twitter профессор криптографии в университете Джона Хопкинса Мэттью Грин (Matthew Green).

Тут пользователям Twitter пришла пора запасаться попкорном. Итан Хайлман (Ethan Heilman) учёный-скептик, открывший уязвимость функции хэширования, начал получать прямые угрозы от сооснователя IOTA Сергея Иванчегло (Sergei Ivancheglo):

«Ему стоит бояться, наши юристы уже работают над этим», — написал он.

В результате этот твит стал одной из главных тем февральской конференции Financial Crypto 2018. И хотя напряжённые дискуссии в индустрии не редкость, эксперты по безопасности считают, что подобные угрозы и иски ей только навредят. Специалист по информатике из UCL Сара Азуви (Sarah Azouvi) считает, что может помешать прогрессу:

«То, что основатель IOTA решил засудить исследователей, очень обескураживает. Они всего лишь пытаются проанализировать и сделать системы более безопасными. На индустрию может сильно повлиять тот факт, что люди будут бояться сообщать о багах».

Воронка в $4 миллиона

Хотя ни один пользователь не потерял средства из-за хэш-функции IOTA, некоторые всё же лишились большой части своих криптовалютных запасов — в сумме равных $4 миллионам, — из-за нюанса, который некоторые представители индустрии считают проявлением откровенной некомпетентности со стороны разработчиков.

Как оказалось, в официальном кошельке валюты не было генератора сид-фраз, который позволил бы пользователям контролировать свои средства. И хотя IOTA Foundation опубликовала лист сторонних ресурсов для генерации фраз, которым можно доверять, часть сообщества воспользовалась другими сайтами. Одним из таких сайтов оказался iotaseed.io, который автоматически сохранял все созданные с его помощью фразы и, таким образом, получал доступ к кошелькам.

«Много наивных людей выдали свои ключи этому человеку. Это действительно плачевное событие», — прокомментировал ситуацию Сонстебо, назвав злоумышленника «отморозком».

Критики же считают, что вместо того, чтобы пытаться пристыдить пользователей, IOTA должна была изначально встроить генератор сид-фраз.

«Для меня Бритва Хэнлона тут бессильна», — высказался в Twitter разработчик lightning network Тадж Дрийя (Tadge Dryja). «Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью».

Он добавил, что ему ничто не остаётся, кроме как «предположить, что злой умысел был», поскольку добавление генератора — «абсолютно стандартная» процедура и требует прописать всего лишь одну строку кода.

Итан Хайлман заявил, что это опасная и довольно необычная ситуация:

«Практически всё криптографическое ПО специально создано для того, чтобы генерировать случайные ключи для пользователей. И если разработчики на них же возлагают ответственность за эту функцию, то это очень опасно, потому что люди могут использовать недобросовестные ресурсы».

А вот мнения в команде IOTA разделились.

Сооснователь компании Доминик Шинер (Dominik Schiener) признал, что для пользователей всё складывалось не слишком гладко, но настоял на том, что нельзя бранить IOTA, когда речь идёт о проблеме на уровне всей индустрии. С точки зрения Сонстебо, проект оставил генерацию сид-фраз на усмотрение пользователей, чтобы у тех было больше контроля:

«Мы дали пользователям возможность выбрать свой механизм случайной генерации. Мы дали им свободу. Это криптовалюты. В том-то и смысл, что нет необходимости кому-либо доверять».

Тем не менее, Сонстебо сообщил, что в течение нескольких недель IOTA запустит кошелёк Trinity, который будет поддерживать случайную генерацию сид-фраз. Разработчики также планируют провести ревизию его кода, чтобы убедиться в достаточной защищённости — на всякий случай.

Уникальный не значит полезный

Ещё одна интересная черта IOTA — это её схема адресации.

Хотя она была разработана ещё до появления квантовых компьютеров — супермашин, способных быстро дешифровать большинство кодов в основе криптовалютных систем, — уже тогда схему раскритиковали за то, что каждый адрес можно использовать только один раз, иначе его могут украсть.

Реддитор под ником «guselbindel» утверждает, что именно это и случилось с ним пару месяцев назад, из-за чего он потерял $30 000.

На самом деле, эксплойт работает даже хуже. Уиллем Пинкерс (Willem Pinkaers) из охранной компании Lekkertech обнаружил, что уязвимость сохраняется, даже если использовать приватные ключи.

«Всё равно, тот факт, что люди не могут безопасно использовать публичные ключи — это какое-то грёбаное безумие», — прокомментировал находку Пинкерса консультант в области блокчейна Питер Тодд (Peter Todd).

По сути, вся критика в адрес IOTA основана на их грандиозных обещаниях и не столь впечатляющем их воплощении. Если взглянуть на их решения «масштабируемости» и «автономности», можно также найти пару нюансов.

На самом деле, IOTA гораздо более централизована, чем хотелось бы, поскольку у разработчиков гораздо больше контроля над протоколами. Некоторые пользователи усвоили этот урок лучше, чем кто-либо: когда IOTA Foundation узнала об уязвимости, которая могла привести к потере средств, она заморозила триллионы (да, триллионы) токенов на кошельках владельцев.

Разумеется, как только недочёт был устранён, вся сумма была возвращена; однако это решение оставило неприятное впечатление того, что у компании слишком много полномочий.

Сонстебо этого даже не отрицает, несмотря на то, что и на официальном сайте, и во всех рекламных материалах IOTA продвигается как децентрализованная сеть.

«На данный момент она полуцентрализована. Мы контролируем координационный узел», — сказал он.

Остальные узлы IOTA способны проверять транзакции самостоятельно, однако это не так безопасно. По сути, большая часть верификационных функций лежит именно на центральном координационном узле.

Впрочем, разработчики пытаются это исправить. Как и биткойн, и остальные криптовалюты, IOTA переходит к большей децентрализации в то время как растёт внедрение виртуальных денег в экономику, сказал Сонстебо. Что немаловажно, IOTA не единственный актив, который старается донести до общества — грядут перемены, но на это нужно время.

В заключение он сказал:

«Нельзя создать децентрализованную систему за ночь. Но нужно с чего-то начать».

Источник