Почему Waves нельзя называть децентрализованной биржей? Разоблачение лжи СЕО Waves Александра Иванова
Я резюмирую вопросы безопасности в Waves, там, где применим новый отчет:
https://research.kudelskisecurity.com/2017/10/10/audit-report-of-the-waves-platform
Каких либо существенных проблем консенсуса нет, так как с технической точки зрения уровень консенсуса приемлем.
1. Централизованный матчинг ордеров.
Эта плохо сделанная апрельская графика резюмирует проблему всего в нескольких словах красным.
Матчинг ордеров централизован.
Может быть больше одного заверяющего узла, но заверение не подчиняется правилам консенсуса. Каждый отдельный ордер матчингового узла централизован, для тех ордеров, что он принимает является доверенной стороной и уязвим с точки зрения безопасности.
Очевидно, что это позволяет при желании проводить Ddos-атаки на отдельные точки, возможно, целясь на матчинговый узел по Вашему выбору.
Несколько Dos атак подтверждаются отчетом:
Наиболее очевидным является
В частности:
Обратите внимание на количество атак и предлагаемые субъективные решения:
Решение непростое
слабое смягчение
И так как оно не основано на консенсусе
Ограничение скорости на основе измерения предыдущей активности
Лучшее, что они могут сделать — это как раз то, чего и добивается DoS.
Это также позволяет оператору узла выставлять ордера раньше других, это тоже, что делают централизованные биржи или брокеры.
Investopedia on Front Running
В двух словах, представьте себе возможность увидеть ордер на покупку, разместив Ваш первым по текущей цене, позволив ордеру третьей стороны исполниться, повысив цену и затем продавая купленное по более высокой цене.
Заметка в отчете показывает несколько случаев, когда ордера могут быть атакованы третьей стороной (новый запрос), но не рассматривает вредоносность со стороны узла. Доклад также очень фокусируется на протоколе и, не знает о централизованности адреса матчера и атакуемости через регулярный Ddos сети.
Waves недецентрализованы.
Это будет использовано, потому что они используют централизацию, потому что они не достигают необыкновенно высокой скорости (ссылка), которой можно было бы достигнуть, сделав книгу ордеров на публичной цепи осуществимой. Больше скорости позже.
2. Цензура компании, которая занимается централизованным управлением
Wavesplatform может делать хорошо и то и то: премайнинг 100% монет, зарезервировано 15% и продано 85%.
Это важно, потому что спасение Эфириума от банкротства продемонстрировало, как много власти у разработчиков, что делает невозможным несогласие с их решениями.
В частности, у них полный контроль над централизованными фондами от ICO, что позволяет разработчикам отказаться обновлять или финансировать фонд разработки любого форка, с которым они не согласны. Кроме того, намайненные монеты, которые они держали, были использованы для атаки на ценность других монет на биржах. С тех пор как платформа управляется и защищается на основе финансовых стимулов, возможность предпринять эти действия, мешает возражать руководству (переход по ссылке).
Централизованное управление — это уязвимость в безопасности, которая может быть легко эксплуатирована ответственными лицами или внешне через судебные разбирательства, давление, угрозы и так далее. (Простой пример) Размещение в России не делает его лучше.
Продемонстрированное цензурирование токена: Делистинги
Кто-то на 4chan создал монету с расистским термином, который привлек внимание. Так эта "децентрализованная" биржа исключила его.
Серьезно.
Изображение не добавлено, чтобы не никого не обидеть и не отвлекать от реальной проблемы.
ссылка на изображение (предупреждение, может быть оскорбительно, не мое)
Неизвестная причина (Пиар, политическое давление...) не имеет значения.
Так же как и с Эфириумом, содержание само по себе не имеет значения, важна возможность делать это без голосования по основным вопросам кода.
в то время как некоторые сторонники утверждают, что белая бумага не исключала такой возможности, пользователь reddit резюмировал обман.
ссылка на изображение
Предложенный альтернативный матчер, у меня сейчас не работает, пока я тестирую их. Механизм делистинга отличается от одобрения токенов, неодобренные токены пока еще можно найти как выделенные серым цветом на странице биржи.
Waves недецентрализованы.
3. Вводящий в заблуждение маркетинг
Этим людям платят чрезвычайно много благодаря ICO, так как Вы ожидали, что они провели необходимые исследования и сделали точные заявления об ожидаемом. Маркетинг представляется либо вводящим в заблуждение с целью наживы или просто исходит от исследовательской некомпетентности. Первое означает мошенничество. Последнее подразумевает незнание ничего о самом большом и более раннем проекте, похожем на их собственный.
Преувеличенные заявления о высокой скорости? Это не так.
Давайте начнем с вопроса скорости и почему они прибегают к централизованному матчингу ордеров.
Волны декларируют скорость до 1000 Транзакций/сек. Формулировка подразумевает пиковую скорость при необходимости, не всякое число ниже 1000 может быть ограничено.
Сейчас, с новым запланированным апгрейдом, в будущем именуемым Waves-NG, они объявили, что будет возможно проводить до 100 транзакций в секунду. (PR @ Wavesplatform) имеет в виду, что они не могли сделать этого раньше и преувеличили. Когда это будет внедрено, теоретический максимум наконец достигнет обещанных 1000 транзакций/сек (источник), но даже не приблизится к тому, что делает основная сеть.
Ложь о компетенциях
Они заявляют, что Waves-NG будет самым быстрым с 100 транзакцими в секунду.
Серьезно.
image link
Что уже должно прозвучать как чушь для тех, кто разбирается в криптовалютах.
Bitshares, STEEM, несколько других (dPoS) = 100 000 транзакций в секунду.
Это не все: XMR (регулируемый размер блока), NEM (poi), NEO (dBFT), Lisk (более медленный dPoS), даже адский DGB (увеличивший размер блока) и XRP (каналы) могут делать это. Они разбили NXT в их основе, на которой возможно только 100 транзакций в секунду.
Они знают это.
4. Ложь про Битшары
Это прозвучит как подстава, но Bitshares уже сделали почти все и гораздо лучше чем то, что Waves надеются сделать. Я не знаю как сформулировать это более объективно.
Сравнение: Резюме по Bitshares & Дорожная карта Waves.
Я могу только предположить, что это приводит их ко лжи на рынке во всех этих сценариях, когда они лгут о свойствах Bitshares.
Смотрите Waves FAQ.
Частично субъективно, но они нападают на безопасность DPOS. С точки зрения безопасности, LPOS Waves не дает никаких преимуществ по сравнению с POS, большинство проблем безопасности POS, который решается DPOS еще в проекте, как показано в докладе Bitfury 2015 года "Доказательство Доли против Доказательства Работы"
(PDF http://bitfury.com/content/5-white-papers-research/pos-vs-pow-1.0.2.pdf)
Кроме того, в контрасте с децентрализацией, у Waves был премайнинг и они контролируют централизованное финансирование, в то время как Bitshares распространялись с PoW на любой компьютер и раздавались без ICO. Кроме того, Bitshares финансируется и контролируется всеми владельцами BTS через DAO, начиная с 2014 года с фонда, который пополняется сборами с комиссий. (Например, текущий пользовательский интерфейс и разработчики ядра финансировались из этого фонда.)
Арендуя монеты без дополнительных узлов, Waves LPOS снял все вопросы безопасности PoS, упомянутых в докладе, а затем добавил централизации системам проверки запросов, которые мы видим в майнинге. И если DPOS отказался от ранее единого комитета заверителей и перешел на голосование, утверждаемое 33 заверителями аккаунта, чтобы усложнить для крупного держателя акций получение места в Комитете, то LPOS будет по-прежнему страдать от этого. Вторая мера предосторожности это то, что DPOS обеспечивает равный вес для всех активных свидетелей, без учета доли. Эти усилия, по преодолению принципа Парето здесь незаметны. Давайте сравним, кто заверяет транзакции в каждом по силе:
ссылка на картинку (исправлено: добавлено больше монет)
Waves не место для разговоров о децентрализации. Кроме того, в то время как POS требует только 51% (возможно 1/3, в зависимости от удачи), чтобы вызвать двойную трату, DPOS требует 2/3 заверителей + 1
для вступления в сговор и под риском потери, принадлежащей по праву оплаты, возможной за оставшееся время, после увольнения заверителей-злоумышленников. Зачем они это сделали? Чтобы получить более высокую скорость, и, видимо, ненамного. (Количество узлов уменьшает потерянные блоки и случайно разбивает их таким образом, что аренда помогает уменьшить узлы.)
Не могу сказать, если они не читали на эту тему, как они относятся к ОpenLedger, бизнеса 3-их лиц на блокчейне.
Затем они заявляют, что он основан на “рынке залогов” идеи когда весь их бизнес на основе шлюзов, покупаемых токенах и ICO, просто как волны, но с 2014 года.
Их инновация другая идея, как легко сделать кастомизированные токены? Как это сделано на bitshares начиная с 2014 года?
По сути, план Bitshares основывается на неограниченном количестве третьих лиц, запускающих собственные шлюзы вместо того, чтобы делать полность новую биржу с нуля. Некоторые из шлюзов упомянуты здесь. Блокчейном Bitshares не владеет ни одна другая компания, кроме самой первой DAO и фактически не контролируются никакие шлюзы.
Для контраста, у Waves есть только один централизованный шлюз на монету полностью контролируемый решением их компании.
Вот в чем главная проблема: они лгут о том, как такие смарткоины, как BitUSD работают, предлагая не требующую доверия альтернативу.
image link
Их централизованный шлюз предлагает доверенный шлюз, поддержавший монету ничем не отличается от, например, open.USD шлюза openledger.
"Если все думают, что что-то стоит 1 доллар" — это не значит, что это работает для всех. (Как это работает)
Простой пример: в любой момент кто-нибудь с 10 bitUSD может нажать кнопку погашения в своем аккаунте и получить эквивалент стоимости $10 в BTS.
Монеты буквально привязаны к стоимости, это путь с реальными залогами безопасно удерживаемыми умными контрактами блокчейна. Нет необходимости в доверии. Обеспеченный залогом Steem (SBD) работает практически так же. Достаточно хорошо для проекта Bitspark с ООН.
Декларирование "Умных Контрактов" на уровне скриптов Биткоина.
Умные контракты существовали в течение ДОЛГОГО времени. Видео
Скрипты языка Bitcoin разрешают умные контракты (а или отрывок из b), например, nLockTime или multisigs, но ограничены по соображениям безопасности. Мы называем их Тьюринг неполными. Проекты BTC как правило нерыночные смартконтракты.
Язык скриптов Эфириума предоставляет еще большую гибкость. Однако часто рынки Тьюринг полные, но, из-за лимитов газа, на самом деле Тьюринг неполные, что подтверждается Виталиком. До сих пор все-таки достаточно гибкие, но небезопасные (например, DOS-атаки Эфириум был атакован ими успешно). Эфириум рекламирует умные контракты достаточно давно и, следовательно, мы ожидаем, что это время было использовано для создания гибких умных контрактов.
Рынки Waves, используя термин "умные контракты" путают людей думающих, что они будут гибкими, а те просто улучшают простые сценарии Биткоина как MAST будет улучшать их на BTC.
Реклама обычных скриптов, как нескольких компьютерных наук вводит в заблуждение. Стоит задаться вопросом, что они думают, о bitshares multisigs, рыночных залогах, оракулах, рынках предсказаний, маржинальной торговле, которые уже работает, что делает их особенными.
Этот специфичный элемент чаще используется зазывалами, чем реальной компанией, — стоит упомянуть об этом.
5. Последнее сообщение
В криптовалютном пространстве есть много фейковых новостей, утверждаетcя чепуха, сказанная о других монетах, это делается по возможным финансовым или вредоносным причинам. Поэтому многие уже начали отвергать действительные проблемы, как подделку, создавая странный мир, где все новости должны быть положительными или с надписью "FUD" и отвергнуты. Коллегиальный обзор, на основе научного метода и наиболее известный способ установления точности, в значительной степени отвергнут в криптовалютах.
Ни одно из писем в "F. U. D." (страха, неопределенности, сомнения) не означает "неточный".
Реальные вопросы по Waves.
Централизация, безопасность, лживый маркетинг, клевета о технологии — это реальная проблема.
Замечание: У меня есть Waves с момента ICO и BTS и HEAT и UNITY и BLOCK и много базовых монет DEX - эти вопросы актуальны только для Waves. Я буквально держу Waves для прибыли, потому что я думаю, что они могут сделать такой сильный маркетинг, что никто просто не услышит плач о проблемах.
Также аудитор отметил, что проблемы, которые он нашел — незначительные и даже купил немного токенов. Он также купил Zcash с известными закулисными играми и некоторые проекты в политически централизованном Эфириуме, таким образом, ясно, что обеспечение безопасности блокчейнов у него не в приоритете.
Они также могут исправить все проблемы в будущем, так что проверьте этот пост, так как он может стать устаревшим. Не стесняйтесь, поправьте меня в комментариях.
Это перевод оригинальной статьи @eosfan.
Наброс от ЭОСовских фанбоев?
Нет, это анализ доклада об уязвимостях в Waves
Одно другому не мешает.
Правильный диалог должен быть таким:
-- Технология А уязвима к типу атаки Б.
-- Вот 10000 USD баунти, если проведешь успешную атаку.
-- .......
Они уже были проведены успешно неоднократно, что сами Waves признают.
Чувствую, где-то рядом должен быть пруф.
Хм.. нет, показалось.