Работая над проектом Lisk, мы крайне серьезно относимся к безопасности наших пользователей и сети в целом. В связи с недавним ростом стоимости токена LSK и, соответственно, возросшему интересу к проекту, крайне важно, чтобы все члены сообщества были осведомлены о лучших практиках, обеспечивающих безопасность в блокчейн-проектах.
Цель этого материала — напомнить о том, как наилучшим образом защитить свой аккаунт перед предстоящими долгими выходными.
Основная информация об адресах в сети Lisk
Каждый аккаунт Lisk состоит из комбинации приватного и публичного ключей, называемой Public Key Infrastructure (PKI). Приватный ключ создается из специальной кодовой фразы, сгенерированной в процессе создании учетной записи. Публичный ключ создается из приватного, который, в свою очередь, используется для генерации адреса Lisk.
Вот как выглядит весь процесс:
Кодовая фраза (passphrase) → Приватный ключ (private key) → Публичный ключ (public key) → Aдрес Lisk
Кодовая фраза (passphrase): person nothing test smoke hundred entry flush capital episode rent budget october
Приватный ключ (private key): 2cb689a302890ae3b135fc68b533e32c3c1f5fdee8bc1431db98f688d85ab4b37ad97456a355280d6e447fa3f4bd7e73895a9461f1764443708af37b91535e40
Публичный ключ (public key): 7ad97456a355280d6e447fa3f4bd7e73895a9461f1764443708af37b91535e40
Aдрес Lisk: 1710406280801763244L
Каждому адресу в сети Lisk соответствует определенная инфраструктура открытого ключа. Для удобства пользователей адрес Lisk имеет гораздо меньшую энтропию, чем приватный ключ. Фактически, существует 2⁶⁴ возможных адресов и 2²⁵⁶ возможных приватных ключей. Если попытаться представить себе масштаб этого числа, 2²⁵⁶ это приблизительно 10⁷⁷, что сопоставимо с числом атомов во Вселенной (10⁷⁸) и намного больше, чем количество атомов нашей планеты (около10⁵⁰)!
Это приводит к появлению нескольких приватных ключей, соответствующих одному и тому же адресу, но разным публичным ключам. В мире блокчейн такое событие называется «адресной коллизией» и, теоретически, может позволить кому-то с другим частным ключом отправить средства с существующего адреса. Но такой вариант считается практически невозможным — даже активный перебор адресов займет, как минимум, несколько месяцев.
Если же публичный ключ известен в сети, проблем можно избежать, так как есть 2²⁵⁶ возможных вариантов публичных ключей, что, теоретически, равно числу закрытых ключей. «Адресная коллизией» в этом случае больше не имеют значения.
Что же это означает для пользователей? Если с адреса не было исходящих транзакций, в сети будет известен только сам адрес, но не публичный ключ. В этом случае, хоть и чрезвычайно редко, но коллизия возможна.
Лучшие практики
Крайне важно, чтобы для любого адреса Lisk в сети был известен и его публичный ключ . Для этого достаточно просто отправить хотя бы одну транзакцию.
Дело в том, что в процессе отправки транзакции из вашей учетной записи, необходимо использовать кодовую фразу, из которой будет сгенерирован сначала приватный, а затем и публичный ключи. Причем публичный ключ будет связан с адресом Lisk и закреплен в блокчейне. Таким образом, даже если произойдет коллизия, сеть обнаружит несогласованные публичные ключи, потому что другой приватный ключ также приведет к другому публичному ключу и все исходящие транзакции будут приостановлены.
Для дополнительной безопасности, в текущих патчах, мы реализовали дополнительные уведомления, а также усилили меры безопасности в программном обеспечении.
Также мы настоятельно призываем наших пользователей ознакомиться с нашим FAQ по безопасности (англ.), который содержит всю необходимую информацию. По всем остальным, возникающим у вас вопросам, обращайтесь в нашу службу поддержки по адресу [email protected].
Lisk Nano 1.3.1
Для дальнейшего повышения осведомленности по этому вопросу, в обновление Lisk Nano 1.3.1 была добавилена функция инициализации учетных записей . Начиная с этой версии, владельцам учетных записей без открытого ключа, включенного в наш блокчейн, будет постоянно выдаваться напоминание о необходимости активации. Загрузите последнюю версию Lisk Nano и проверьте, относится ли это к вам.
Lisk Core 0.9.11
Еще один шаг к повышению безопасности - выпуск Lisk Core 0.9.11, который направлен на улучшение защиты, качества кода и надежности сети.
Наша команда приняла решение отказаться от подмодуля Lisk UI — пользовательского интерфейса клиента, как метода доступа к аккаунту или выполнения других действий в сети. Этот шаг — еще одна мера безопасности для уменьшения вероятности попадания наших клиентов на фишинговые сайты, маскирующиеся под официальные ресурсы Lisk. Другая причина заключается в том, что Lisk UI не использует Lisk-JS, который также добавляет дополнительный уровень безопасности при подписании транзакций офлайн.
Наша тестовая оболочка теперь имеет более интуитивно понятный интерфейс, с использованием командной системы запуска NPM. Это позволит разработчикам выбирать требуемый набор тестов для запуска, просто указав нужный каталог, тип и тэг.
Сам набор тестов также значительно улучшился. Части кода, ответственные за контроль блоков и управление ими, стали более надежными. Это поможет обеспечить безопасность сети, обеспечивая безопасность кода, функциональность программного обеспечения и гарантию продукта.
В стремлении к более умным методам кодирования мы также улучшили качество документации для различных модулей. Что положительно влияет на читаемость кода в целом. Это, в свою очередь, упрощает написание командного кода и улучшает взаимодействие между блоками кода внутри программы.
В нашем постоянном стремлении обеспечить качество сети и функциональную совместимость мы переработали вопрос о распространении неподписанных многосигнатурных транзакций. Теперь они будут транслироваться по сети и проверяться остальными её узлами. Это поможет оптимизировать эффективность сети, повышая взаимодействие ее узлов. Кроме того, мы оптимизировали поддержание неподтвержденного статуса во время синхронизации, что помогает улучшить общую производительность при обработке транзакций.
И, наконец, мы улучшили механизм восстановления при развлетвлении (fork) блоков, включив временную метку, которая позволяет узлам отклонять блоки с неправильной меткой времени. Это еще один шаг к большей стабильности сети и уменьшению ошибок при размножении блоков.
О поддельных веб-сайтах / кошельках
Учитывая рост популярности Lisk, мы видим увеличение количества поддельных веб-сайтов и веб-кошельков. Пожалуйста, будьте предельно осторожны, когда вводите кодовую фразу. Мы просим вас пользоваться только нашим официальным кошельком Lisk Nano, загруженным с нашего официального сайта. Не доверяйте сторонним поставщикам кошельков и будьте осторожны, чтобы случайно не посетить фейковый сайт.
Обратите внимание: учитывая децентрализованный характер блокчейна, LiskHQ не может проверять отдельные учетные записи, замораживать кошельки, извлекать кодовые фразы или выдавать возмещения жертвам поддельных (фишинговых) сайтов.
Будьте здоровы и защищены!
Счастливых выходных!
Команда Lisk
Самые оперативные новости и оперативная поддержка
по вопросам о платформе Lisk на русском языке!
🍾