211service.com
De geheime bugfix van een cryptocurrency-bedrijf heeft verwarrende juridische implicaties
mevrouw Tech
Op dinsdag 5 februari deed de Zcash Company, het bedrijf met winstoogmerk dat verantwoordelijk is voor het onderhoud van de cryptocurrency Zcash, een schokkende onthulling: het had in het geheim gehandeld om een softwarefout te verhelpen die een aanvaller de middelen zou hebben gegeven om nep-Zcash te maken. .
Wat schokkend is, is niet dat Zcash een fout had. Het is dat slechts een handvol medewerkers ervan wisten en (voor zover we weten) het acht maanden geheim hielden voordat ze het repareerden. De manier waarop het team het probleem aanpakte, zou waarschijnlijk niet zo controversieel zijn als Zcash een traditioneel softwarebedrijf was. Maar dit is crypto, waar liefhebbers verwachten dat alles transparant en gedecentraliseerd is. Misschien nog belangrijker, deze aflevering herinnert ons eraan dat we geen duidelijke definities hebben om onderscheid te maken tussen gecentraliseerde en gedecentraliseerde blockchain-systemen, zelfs nu beleidsmakers echte juridische implicaties aan deze labels zijn gaan hechten.
Het verhaal begint in maart. Volgens een lange blogpost , toen ontdekte Zcash-cryptograaf Ariel Gabizon een subtiele cryptografische fout in een academische paper Zcash vertrouwde op de ontwikkeling van zijn technologie. Zcash gebruikt een fraaie cryptografische tool, een zero-knowledge proof, om gebruikers anoniem transacties te laten uitvoeren. Hiermee kunnen transacties worden gevalideerd zonder enige andere informatie over hen weg te geven.
De gevonden kwetsbaarheid is zo subtiel dat deskundige cryptografen het jarenlang hebben gemist, schrijven de auteurs van de blogpost. Dat is zelfs een reden waarom het bedrijf gelooft dat niemand anders wijs was met de fout. Het ontdekken van de kwetsbaarheid zou een hoog niveau van technische cryptografische verfijning vereisen die maar heel weinig mensen bezitten, schrijven ze, eraan toevoegend dat ze geen bewijs van enige vervalsing hebben gezien (hoewel ze geven toe dat ze niet zeker kunnen zijn ).
Na het ontdekken van de bug, besloot het kleine team op de hoogte dat de veiligste manier was om het pas bekend te maken nadat het was opgelost. Volgens Fortuin , gebruikten ze versleutelde communicatie en zorgvuldig geselecteerde vertrouwenspersonen om te voorkomen dat malafide insiders, spionnen of hackers kennis zouden krijgen van de kwetsbaarheid. Eindelijk, in oktober, slopen ze de bugfix in een upgrade die van tevoren was gepland.
Ervan uitgaande dat we het vertrouwen van het bedrijf vertrouwen dat het veilig was om de bug zo lang ongepatcht te laten, aangezien zo weinig mensen de cryptografische expertise hebben om het te exploiteren, moeten we ons nog steeds afvragen: betekenen de acties van het bedrijf hier dat Zcash daadwerkelijk gecentraliseerd is?
Helaas kunnen we nog geen zinnig antwoord geven, omdat we nog steeds geen overeengekomen definitie van decentralisatie hebben. Tot op heden heeft dit niet veel gevolgen gehad voor de echte wereld; debatten over de vraag of bepaalde munten echt gedecentraliseerd zijn, waren meestal ideologisch. Maar aangezien gedecentraliseerd de overgang is van een marketingterm naar een term die echte juridische implicaties heeft, is dit problematisch, schrijft Angela Walch , een professor aan de St. Mary's University School of Law, in a nieuwe academische paper : Als we verdoezelen wat [decentralisatie] betekent, riskeren we onbedoelde gevolgen wanneer deze systemen zich niet gedragen zoals we verwachten.
Neem bijvoorbeeld een toespraak geleverd in juni 2018 door William Hinman, directeur bedrijfsfinanciering voor de Amerikaanse Securities and Exchange Commission. Daarin noemde Hinman zowel Bitcoin als Ethereum voldoende gedecentraliseerd zodat hun cryptocurrencies niet als effecten zouden moeten worden gereguleerd, een categorie die aandelen en obligaties omvat.
Maar aangezien decentralisatie niet is gedefinieerd, is de standaard van Hinman moeilijk vast te stellen. Andere delen van zijn toespraak spreken zijn conclusie tegen, stelt Walch. Hinman zegt bijvoorbeeld dat een digitaal actief een beveiliging kan zijn (lees: gecentraliseerd) als er informatieasymmetrieën bestaan tussen de promotors en de potentiële kopers (d.w.z. sommige mensen weten meer dan anderen over de interne werking ervan). Als een klein aantal ontwikkelaars geheimen bewaart, bestaat dit soort asymmetrie wel, schrijft Walch.
We hebben dit al zien gebeuren in Bitcoin en Ethereum, stelt ze. In september 2018 hebben minder dan een dozijn ontwikkelaars van Bitcoin Core, de belangrijkste Bitcoin-softwareclient, dagen gewacht voordat ze een kritieke bug onthulden die ze in de nieuwste versie hadden ontdekt. In november kregen hoofdontwikkelaars voor Ethereum te maken met kritiek van sommigen in de gemeenschap nadat ze verschillende privébijeenkomsten gehouden om voorgestelde software-upgrades te bespreken.
Wat betreft Zcash, Walch getweet op dinsdag, als vier mensen die maandenlang een kritieke bug geheim houden, geen centralisatie demonstreren, weet ik niet wat dat zou doen.
Zelfs als dat waar is, wat dan nog? Vermoedelijk zullen beleidsmakers het ons uiteindelijk vertellen - als ze eenmaal hebben besloten wat decentralisatie eigenlijk betekent.