ג'ון מקאפי הוא אחד מ"אושיות הקריפטו" השנויות יותר במחלוקת בעולמות המטבעות הדיגיטליים ואבטחת המידע. לאחרונה השיק מקאפי את ארנק החומרה שלו, Bitfi, ונתקל בביקורת קשה מאד בקרב הקהילה.
בעקבות הביקורות, החליט מקאפי על תחרות באונטי: מי שיפרוץ את הארנק ויוציא ממנו את סכום הביטקוין שנמצא בו, יקבל פרס של 250,000 דולר. מכאן, הדברים נהיים מעניינים.
מי אתה ג'ון מקאפי?
לטובת מי שאינו מכיר, ג'ון מקאפי הוא היזם והמוח מאחורי חברת אבטחת המחשבים ויצרנית תוכנת האנטי-וירוס "McAfee". בשנת 2010, לאחר שעשתה שמות בתעשייה, נקנתה החברה ע"י אינטל בכ-8 מיליארד דולר. מקאפי החל להתעניין בקריפטו לפני שנים רבות, אך ביולי 2017 החל לתפוס את הבמה הבינלאומית.
"אם ביטקוין לא יגיע ל-500,000$ תוך 3 שנים, אוכל את הז** שלי בשידור חי" (מי היה מאמין שאצטרך לצנזר אי פעם). כך הצהיר מקאפי בציוץ בטוויטר, ולאחר מכן אף תיקן בהגזמה יתרה:
גם את תשומת הלב של ה-SEC (הרשות האמריקאית לניירות ערך) תפס מקאפי כאשר במשך תקופה ארוכה פרסם את "המטבע המומלץ השבועי" בחשבון הטוויטר שלו למעל 800,000 העוקבים, והוביל לנסיקתו המידית של המטבע (וגם לצניחתו – אפשר לומר שהיה מדובר בפאמפ אנד דאמפ אם כי הוא לא הואשם בדבר עד כה).
ארנק ביטפי (Bitfi)
ארנק ביטפי הושק לפני חודש וחצי בלבד תחת הסיסמה "Unhackable" – לא ניתן לפריצה. הביקורות הרבות בקרב קהילת הקריפטו הובילו את מקאפי להכריז על תחרות באונטי לקראת סוף חודש יולי. הוא העמיד ארנק ביטפי עם סכום ביטקוין קטן בתוכו, וחוקי התחרות גורסים שהצלחה בה תוכח ע"י ריקון הארנק בלבד. תחילה הפרסים עמדו על 100,000$, ולאור התגברות הביקורות הפרסים עלו ל-250,000$.
כאשר יש פרסום וכסף בתמונה, מגיע גם הרצון למצוא את הדברים השליליים. הראשון שיצא בפומבי נגד הארנק היה ראיין קסטלוצ'י, חוקר אבטחת מידע מקצועי אשר טען ש"הארנק נוראי ואני ממליץ בתוקף שלא להשתמש בו". את הביקורת העביר קסטלוצ'י מבלי להחזיק בארנק כלל, אלא תוך התבססות על קוד התוכנה בלבד והדרך בה מיוצרים המפתחות הפרטיים של המשתמשים.
טענה נוספת של קסטלוצ'י טמונה בהתנהלות חברת ביטפי בתחרות. לטענתו, הקוד הפתוח שוחרר כקובץ PDF אינו באמת קוד תוכנה, אלא מאות נוסחאות שהועתקו מהתיאור של אלגוריתם Scrypt ו-BIP32. כלומר, לא ניתן לומר בוודאות שהארנק הינו קוד פתוח. ביטפי בתגובה אמרו את הדברים הבאים:
"לעולם לא אמרנו שאנחנו מספקים את הקוד הפתוח במלואו, אלא שהארנק אכן בעל קוד פתוח. בדקו את האתר שלנו לפני שאתם פולטים זבל. אם אתם רוצים את קוד, השתמשו קצת במתמטיקה – אל תהיו עצלנים."
הבא בתור היה סלים ראשיד – זוכרים אותו?
בתחילת השנה סלים, נער בן 15 בלבד, זיהה פרצת אבטחה בארנק לדג'ר ננו אס וזכה בפרס באונטי מטעם החברה. כעת, טוען ראשיד שהצליח למצוא פרצה במכשיר ואף מקבל גיבוי מחוקר אבטחת המידע אלן וודוורד בסדרת ציוצי "מלחמה" מול חברת ביטפי:
that would make sense, apart from the fact that the rooted device syncs with the Dashboard.
maybe you're mistakenly checking for a su binary, but i'm not that sloppy in my work.
— Saleem Rashid (@saleemrash1d) August 2, 2018
— Saleem Rashid (@saleemrash1d) August 2, 2018
בינתיים, בעוד שחברת ביטפי לא סופקה בהוכחות, היא מתנהגת באופן מחפיר. ראשית, לטענתה פיטרה עובד אשר היה אמון על הרשת החברתית ו"העליב חוקרים חכמים". לאחר מכן, פיזרו האשמות כלפי ארנק לדג'ר ננו אס, ואף ארנק טרזור, על כך שמדובר ב"צבא של טרולים" שנשכרו על ידם בכדי לתקוף את ארנק ביטפי, שכן הם מפחדים מהתחרות.
לסיכום
עד כה סופקו הוכחות להשתלטות על הארנק בלבד, אך לא הוכחות מעשיות שהכספים נלקחו ממנו. עפ"י חוקי התחרות וחברת ביטפי, אין זה מספק בכדי לזכות את החוקרים בפרסים, וכמובן שבעיניהם זה מוכיח שכספי המשתמשים מוגנים.
בפועל, זה מעיד שניתן לחבל בארנק מבחוץ, כפי שניתן היה לעשות במובן מסוים בארנק לדג'ר עד שתוקנה הפרצה, והחברה מתכחשת לטענות בתוקף.
בין אם יוצגו הוכחות נוספות ובין אם לא, התנהלות חברת ביטפי הייתה מתחת לכל ביקורת (כשל ילד בן 10, ופרגנתי), לפיכך אנחנו לוקחים מכאן שורה תחתונה חשובה מאד: בדקו היטב במי אתם מפקידים את הכסף שלכם! נכון לעכשיו, ארנקי החומרה לדג'ר וטרזור הם המומלצים.