CTO REMME: «Будь-яку систему можна зламати, але блокчейн робить атаку дорожчою»

У лютому цього року український проект REMME залучив на Token Sale $17,5 млн. Це стало найбільшим Token Sale української компанії. Загалом було залучено понад 19 000 монет ефіріума – другої за капіталізацією криптовалюти, платформу якої технологічні стартапи часто використовують для Token Sale.

Проект був заснований у 2015 році бізнесменом Олександром Момотом. Головний продукт, над яким працює команда, – безпарольна аутентифікація користувачів і пристроїв за допомогою публічних ключів (наприклад, самопідписаних SSL-сертифікатів), які зберігаються в блокчейні. У команді стартапу – понад 20 працівників у Києві та Одесі.

І хоча наразі капіталізація компанії значно знизилася через падіння вартості всіх основних криптовалют, це не заважає команді готуватися до запуску продукту на ринок і старту комерційних продажів. На момент продажу токенов ефіріум коштував $850 за монету. Поточна вартість ледь перевищує $220.

Mind поцікавився у CTO проекту Романа Кравченка подальшими планами REMME і поговорив про ті труднощі, з якими стикається блокчейн-індустрія.

– Які функції СТО, по суті – технічний директор, виконує в блокчейн-компанії?

– Роль CTO схожа на роль головного інженера на заводі. Він має стежити за процесами, що відбуваються під час виробництва продукту (у даному випадку це програмне забезпечення), працювати з командою в такому форматі, щоб продукт доставлявся в термін, згідно з дорожньою картою.

Практика Token Sale проектів передбачає розробку дорожньої карти – якихось зобов'язань перед токенхолдерами: наприклад, гарантування того, що проект розвиватиметься в певному таймлайні. І, відповідно, функція СТО полягає в тому, щоб ставити верхньорівневі завдання і контролювати їх своєчасне виконання.

– Скільки людей працює в проекті?

– Зараз у проекті працює 12 інженерів. Характер завдань передбачає, що рівень програміста має бути вищим за рівень простого розробника. Інженери можуть самостійно приймати рішення, проектувати компоненти продукту.

– REMME створювався у 2015 році як IT-стартап? Хто його починав? Хто фінансував проект перші три роки?

– Цей проект починав Олександр Момот, який наразі є СЕО компанії. Ідея ґрунтувалася на особистому досвіді. Саша був учасником ICO Ethereum. Через кілька років після його інвестицій (це сталося, коли ціна ETH збільшилася) він зрозумів, що не може згадати пароль гаманця. Після декількох днів мозкового штурму і спроб зламати гаманець він нарешті згадав пароль. Саме так народилася ідея REMME WebAuth – аутентифікація без пароля користувача.

– Чому вас запросили в проект? Для чого знадобився новий СТО?

– З'явилися певні процеси в розробці, які вимагали більш комплексного підходу. В цілому СЕО має займатися іншими завданнями – визначати стратегічні цілі компанії. Відповідно, виникла необхідність у СТО, який налагодив би процеси і запустив повноцінну розробку продукту. Була перевірена низка технічних гіпотез, випущено кілька демоверсій продукту, і з цим проект вийшов на Token Sale.

– Розкажіть, у чому суть продукту REMME.

– У 2015 році проект являв собою рішення, яке передбачало відхід від пароля в аутентифікації з використанням SSL-сертифіката.

Спочатку було декілька ідей самого рішення. Наприклад, ми хотіли, щоб наша програма запам'ятовувала додаткові дані, такі як геолокація, IP тощо, і зберігала цю інформацію в блоковому ланцюжку. Але під час розробки ми зрозуміли, що працювати з декількома критеріями одночасно не дуже добре. Краще використовувати один постійний критерій. Тому ми придумали ідею створення «цифрового паспорта», представленого сертифікатом.

На сьогоднішній день ідея і концепція REMME перетворилися в набагато ширше і складніше рішення, що складається з трьох основних блоків:

• Протокол REMME PKI (d) – протокол з відкритим вихідним кодом, який використовує технологію блокчейн для заміни традиційних централізованих інституцій.

• Програми (dApp) WebAuth/OAuth – реалізація протоколу для вирішення конкретних випадків використання: аутентифікація користувача, аутентифікація девайса тощо.

• REMME Certificate life management system (CLM) – ентерпрайз-рішення для управління життєвим циклом сертифікатів.

– Тобто ідея проекту в тому, щоб не вводити пароль, а мати файл на флешці або на комп'ютері?

– Так, файл, який сек’юрно зберігається у вас, і за допомогою якого ви аутентифікуєтеся. Якщо ви володієте якимось пристроєм, то є власником і всіх даних, які збережені на цьому пристрої.

– І якщо в мене вкрали комп'ютер або цей файл, то людина зможе зайти з його допомогою в мій акаунт? Все одно залишається фізичне зберігання доступу, умовно кажучи, як ключ від дверей?

– Ні, зайти не зможе. Бо ваш смартфон, ноутбук або десктоп зазвичай захищений біометрією, пін-кодом або паролем. Крім того, для захисту важливих даних найчастіше використовується додаткова двофакторна аутентифікація. Але фізичне зберігання залишається. Просто статистика показує, що це більш безпечно, ніж паролі.

– На якому етапі проект прийшов до необхідності використовувати блокчейн?

– Блокчейн спочатку планувався, бо існуючі технології управління сертифікатами мають вразливе місце – наявність єдиної точки відмови. Як правило, це централізований сервер, в якому зберігають дані про сертифікати, про кореневий сертифікат, на основі якого створюються дочірні. Відповідно атака на єдиний центр тягне за собою падіння всієї системи і всіх клієнтів, які використовують ці сертифікати.

– Вкрасти його можна тільки фізично, а ось «покласти» сам сервер, щоб ніхто не зміг авторизуватися, можливо?

– Із будь-яких причин кореневий сертифікат може бути скомпрометований – відповідно, всі клієнти, які користувалися послугами цього вендора, втратять доступ до мережі передачі даних.

– Тобто існуюча система сертифікатів вразлива до шкідництва? А блокчейн вирішує саме цю проблему?

– Так, по суті, будь-яку систему можна зламати. Завдання сек'юріті-інжинірингу – зробити атаку якомога дорожчою. Блокчейн, завдяки своїм властивостям розподіленості, наявності таких механізмів, як криптографія, математичні підходи, які лежать в основі консенсусу, забезпечує певний рівень безпеки системи і відмовостійкості.

Цей рівень набагато вищий, ніж для централізованої системи, коли є центр, на який можна зробити атаку.

– Як продукт повинен працювати технічно?

– Я, як користувач, генеруюю сертифікат (файл певного формату) у себе на локальному пристрої і відправляю запит на збереження інформації про цей ключ у блокчейн. Блокчейн перевіряє, чи є дійсним цей сертифікат, тобто чи мав я право його згенерувати. Якщо це так, то він зберігає дані сертифікату в блокчейн і зберігає його. У момент, коли я хочу отримати доступ до системи, я приходжу з цим сертифікатом у певний веб-сервіс і логін з допомогою цього ключа.

Тобто ключ зберігається в так званому keys storage – це локальне сховище, яке залежить від операційної системи. Веб-застосунок звертається до мого сховища, бачить цей файл, перевіряє його в блокчейні. Якщо все ок, то додаток мене авторизує. Нода в блокчейні має підтвердити, що ця інформація збережена і вона правильна. Відповідно, у нас немає єдиної точки, щоб атакувати систему. Для цього потрібно атакувати кілька сотень нод. У серпні ми запустили тестнет, який відкритий у публічному доступі. Будь-хто може протестувати цю технологію, на GitHub є відкритий протокол, і кожен власник веб-сервісу вже може його використовувати.

– Скільки грошей було витрачено до Token Sale? І чиї це були гроші?

– З початку існування і практично до Token Sale проект фінансував один із фаундерів – Олександр Момот. Це були його особисті кошти, які він отримував від продажу майнінгового обладнання. Перед Token Sale було залучено близько $200 000 українського кріптокомьюніті. Витрачені вони були приблизно порівну на бізнес-девелопмент і маркетинг.

– Чи було передбачено винагороду за підсумками Token Sale?

– Команда отримала невеликий бонус у вигляді надбавки до заробітної плати за переробку. Підготовка до Token Sale і сам сейл були дуже напруженими. Деякі буквально ночували в офісі напередодні.

– Як розподіляються гроші, отримані на Token Sale?

– Перед Token Sale даються певні плани щодо використання коштів, зібраних на сейлі. За порадою наших фінансових едвайзерів, ми зафіксували певну суму в фіаті на розробку на два роки. Розбивка була приблизно такою: 35% research and development, 25% business development, 20% operations, 15% marketing, 5% legal. Як бачите, всі кошти спрямовуються на розробку і розвиток продукту. Таблиця розподілу знаходиться у вільному доступі на сайті Token Sale. Кожен може зайти і перевірити. За межі цих розрахунків ми не виходимо.

– Але якась частина грошей була ж виплачена керівництву компанії?

– Керівництво компанії – це її творці, які вкладали особисті кошти в розвиток проекту. Вони не отримували заробітну плату протягом трьох років існування проекту. Перша виплата була тільки через кілька місяців після Token Sale. До слова, заробітна плата двох кофаундероів за розміром тільки на 5–6 місці в компанії.

– А що сталося c капіталізацією компанії влітку? Наразі вона впала вп'ятеро з моменту Token Sale.

– На момент Token Sale вартість Ethereum (ефіріум) становила близько $850. Ціна токена на той момент відображала реальний розвиток проекту.

Капіталізація компанії впала приблизно пропорційно падінню ефіріума. На жаль, все ЕRC20 токени мають сильний зв'язок з ефіріумом. Ми працюємо над тим, щоб нівелювати цей вплив за допомогою токенекономікі.

– З урахуванням того, що вартість ефіру впала, поточна капіталізація проекту еквівалентна $3 млн. Чи правильно ми розуміємо, що зібрали $17,5 млн, а реально наразі є $3 млн?

– Ні, не правильно. На звичайних ринках капіталізація компанії включає в себе вартість компанії, акції якої котируються на біржі, плюс додаткові активи. Сума, яку ми зібрали, зменшилася через падіння ціни ефіріума і ринку в цілому. Але, по-перше, ми зафіксували частину суми на розвиток у фіаті. По-друге, частково диверсифікували ризики за рахунок інших криптовалют. Плюс 20% токенів (частина, яку планується розподілити між командою) не було розміщено на біржі і т. д.

Тобто існують додаткові активи, які входять в загальну капіталізацію компанії, але не відображаються на coinmarketcap. У цьому особливість ринку криптовалюти, він не показує повну картину.

– Скільки коштує розробник на блокчейні?

– Від $5000 – це середній рівень по ринку.

– Наскільки компетенція в блокчейні в резюме збільшує цю вартість?

– У нашому випадку, напевно, не підвищує. Нам потрібні кваліфіковані співробітники в проекті, бо завдання досить складні, і на першій стадії це мають бути ті, хто зможе приймати рішення у своїй зоні відповідальності. У цьому випадку блокчейн не відіграє такої ролі, ресурси витрачаються дуже економно.

– Зараз в команді працює 12 програмістів, і їм виплачується зарплата?

– Звичайно.

– З цього фонду і у ефіріумі?

– Заробітна плата розробникам виплачується з фонду, спрямованого на розвиток проекту. Номінується вона в ефіріумі, нараховується в доларах, але виплачується згідно із законодавством України в національній валюті – гривні.

– Тобто якщо 12 працівників отримують по $5000, то бюджет у 3 млн виглядає вже не так вражаюче.

– Повертаючись до питання про капіталізацію, 3 млн – це тільки частина. Наш берн рейт у 5–10 разів нижче, ніж у західних компаніях, які зібрали аналогічну суму в крипті. Ті гроші, які ми перевели у фіат відразу після Token Sale, дозволяють не спалювати крипту за зниженими цінами ще протягом двох років. Загальний запас за поточним курсом близько 50 місяців.

– Наскільки ціна токена зараз важлива для компанії?

– З фінансової точки зору зараз ціна токена не важлива, але з точки зору сприйняття інвесторів вона важлива завжди. Це одна з причин, через яку ми прийняли рішення не розподіляти токени компанії між співробітниками доти, поки ринок не стабілізується. До слова, едвайзери, які отримали винагороду в токенах після Token Sale, не продали їх і через дев'ять місяців. Це можна перевірити на masterwallet.

– Тобто це просадка ринку, а не розпродаж з боку інвесторів, які хотіли «хайпанути», а потім злити?

– Продала незначна частина інвесторів. І це нормально. Велика частина холдить. Бо технологічно це продукт, а не криптовалюта. А початкова цінність – у продукті.

– Навіщо мені купувати токени REMME? Щоб потім отримувати ревард?

– Залежно від ваших потреб. Це може бути як бізнес, який планує інтегрувати рішення REMME і оплачувати зберігання публічних ключів в блокчейні в токенах. Або варіант, коли ви хочете бути власником майстер ноди, яка підтримує роботу мережі та отримує винагороду за валідацію транзакцій. Сьогодні це основні напрямки, але будуть й інші опції, виходячи з варіантів використання протоколу і ролі учасника в екосистемі.

– Це принцип Proof of Stake?

– Швидше, Proof of Service. Мережа триматиметься на майстер нодах, які є валідаторами і забезпечують безпеку і виконання певних сервісів у мережі. І для того щоб створити майстер ноду, потрібно бути власником і заморозити певну кількість – від 250 000 токенів – на майстер ноді.

– А ви відстежували, в якому відношенні спекулянти і бажаючі тримати майстер ноду купували токени на Token Sale?

– Я не аналізував Token Sale з цієї точки зору. У нас були інші технічні завдання: до цього часу потрібно було випустити перший реліз. За тиждень до лютневого Token Sale ми з цим успішно впоралися, провівши перший реліз альфа-версії.

Половина токенів, куплених на Token Sale їх власниками, планується для покупки майстер нод та їх експлуатації. Це не говорить про те, що інші маркери – для спекуляції. Можливо, частина з них піде на використання продуктів. Звичайно, якась кількість спекулянтів на ринку завжди присутня. Ми – не великий хайповий проект, і тому відсоток спекулянтів у нас маленький. Проте ми маємо якісну аудиторію, яка вірить у продукт.

– На чому планує заробляти проект? Рішення для бізнесу будуть платними?

– Як я вже казав вище, зараз REMME являє собою комплекс рішень. Відповідно, буде кілька бізнес-моделей.

Якщо ми говоримо про протокол REMME, то основним двигуном будуть розробники і компанії-інтегратори. У межах open source моделі REMME-протокол вільний у доступі, гроші заробляються через транзакції, технічну підтримку, додаткові юзкейси і рішення на основі протоколу.

Наприклад, для ентерпрайзіву, замість того щоб покладатися на паролі, REMME пропонує децентралізовану версію PKI (d), яка дозволяє клієнтам/співробітникам реєструватися у своєму веб-додатку на будь-якому зі своїх пристроїв з цифровими сертифікатами. Є також REMME IoT-інтеграція. Щоб забезпечити безпечну комунікацію IoT-пристроїв (передачу даних тощо), REMME пропонує децентралізовану версію PKI (d), яка використовує асиметричну криптографію для аутентифікації. На пристрої розміщується цифровий сертифікат (приватний ключ), а публічний ключ зберігається на блокчейні.

У випадку з CLM модель трохи інша. Це хмарне рішення належить до моделі software-as-a-service, надається за підпискою. Ця частина платформи буде надавати сервіси, до яких компанії звикли. А блокчейну в цьому випадку відведена роль внутрішнього механізму, що покращує якість рішення.

Зараз ця стратегія в стадії розробки. Для ентерпрайза магія не потрібна, потрібні зрозумілі цифри.

– Продукт на блокчейні дозволить і економити, і збільшити безпеку або тільки збільшити безпеку?

– І те, і інше. Економія можлива на транзакційних витратах – утримання інфраструктури certification authority, про яке піклуватимуться власники майстер нод. Тут і зосереджений головний ефект блокчейн-проектів: мережею керує не якась конкретна компанія, а спільнота, що сформована навколо цього проекту. І вони, відповідно, отримують винагороду, бо надають всі ці сервіси як частина мережі.

– Ця модель не буде прив'язана до блокчейну, до токенів?

– Для клієнтів буде опція оплати і в звичній валюті, і в фіаті. Але всередині працюватиме токен-економіка.

– Тобто в основі будь-якого продукту, що побудований на блокчейні – смарт-контракти, аутентифікація, перехід права власності, лежать якісь маркери. А оскільки майстер ноди має підтверджувати ці транзакції, то за них потрібно платити. Але не централізованому сервісу, а власникам цих монет?

– Власникам майстер нод, які формують цю мережу. Аналогічно тому, як ви оплачуєте хмарні сервіси.

– Але платити потрібно буде саме в ефіріумі?

– Через те, що ми працюватимемо з корпоративними клієнтами, для багатьох з яких криптовалюта – щось невідоме, то будуть надані зручні сервіси білінгу, що забезпечать звичну оплату за допомогою фіата. А всередині буде механізм конвертації фіата в токен REMME, щоб учасники мережі заробляли на кожному новому клієнтові.

Але також передбачається робота протоколу і на інфраструктурі клієнта. Тобто клієнт зможе розгорнути на своїй інфраструктурі сайд-чейн, і в цьому випадку також передбачається певний механізм винагороди мережі.

– Скільки ще часу потрібно REMME, щоб реалізувати проект?

– Перша версія продукту REMME PKI (d) (протокол) зараз стабільна і працює в тестовому середовищі, а друга версія в mainnet запланована на І квартал 2019 року. Також паралельно ведеться робота з REMME WebAuth. Звичайно, він прив'язаний до запуску блокчейну, тому орієнтуємося на І квартал 2019 року. REMME CLM зараз теж в роботі. Першу версію також очікуємо наприкінці І кварталу 2019 року.

– Але поки клієнтів немає?

– Є низка пілотних програм, у межах яких ми працюємо з потенційними клієнтами. Також ми в процесі підписання документів з великим клієнтом, і як тільки закриємо всі юридичні питання – обов'язково опублікуємо цю інформацію.

– Як відбувається продаж продукту?

– За розвиток цього напрямку відповідає Head of Business Development – Сід Десаї. Сід приєднався до команди в липні 2018 року. Для кожного з продуктів всієї лінійки передбачена власна стратегія просування. Я думаю, Сід зможе краще розповісти про тонкощі продажів продукту. Я, як CTO, відповідаю за технічну частину, забезпечення запуску протоколу і його стабільну роботу.

– Чи багато у світі ваших конкурентів з подібними рішеннями?

– Наразі на ринку немає рішення, яке було б готове до використання. З одного боку, є пара схожих продуктів, заснованих на блокчейні, але всі вони знаходяться в базовому вигляді. З іншого боку, є стандартні, звичні ринку рішення, у яких немає переваг блокчейн-технології. Ми ж хочемо вибудувати все елементи і повністю налагодити процес. Щоб клієнт міг легко використовувати наше рішення, як уже звичне, але з перевагою децентралізації.

Корпоративний сектор надто консервативний. Хоча фахівці вже зараз починають розуміти, що централізована система дуже вразлива, і з цікавістю розглядають нові, нетривіальні рішення.