Технический директор стартапа REMME: «Любую систему можно взломать, но блокчейн делает атаку значительно дороже»

Технический директор стартапа REMME: «Любую систему можно взломать, но блокчейн делает атаку значительно дороже»

Роман Кравченко – о том, как стартуют новые блокчейн-проекты в Украине, зачем стартапу своя валюта и сколько на рынке труда стоит команда качественных разработчиков

Этот материал также доступен на украинском
Технический директор стартапа REMME: «Любую систему можно взломать, но блокчейн делает атаку значительно дороже»
Роман Кравченко
Фото: BIockchain Hub Kyiv

В феврале этого года украинский проект REMME привлек на Token Sale $17,5 млн. Это стало крупнейшим Token Sale украинской компании. Всего было привлечено более 19 000 монет эфириума – второй по капитализации криптовалюты, платформу которой технологические стартапы часто используют для Token Sale.

Проект был основан в 2015 году бизнесменом Александром Момотом. Главный продукт, над которым работает команда, – беспарольная аутентификация пользователей и устройств с помощью публичных ключей (например, самоподписанных SSL-сертификатов), которые хранятся в блокчейне. В команде стартапа работают более 20 человек в Киеве и Одессе.  

И хотя на данный момент капитализация компании значительно снизилась из-за падения стоимости всех основных криптовалют, это не мешает команде готовиться к запуску продукта на рынок и старту коммерческих продаж. На момент продажи токенов эфириум стоил $850 за монету. Текущая стоимость едва превышает $220.

Mind поинтересовался у CTO проекта Романа Кравченко дальнейшими планами REMME и поговорил о тех сложностях, с которыми сталкивается блокчейн-индустрия.

– Какие функции СТО, по сути – технический директор, выполняет в блокчейн-компании?

– Роль CTO похожа на роль главного инженера на заводе. Он должен следить за процессами, которые происходят при производстве продукта (в данном случае это программное обеспечение), работать с командой в таком формате, чтобы продукт доставлялся в срок, согласно дорожной карте.

Практика Token Sale проектов предусматривает разработку дорожной карты – неких обязательств перед токенхолдерами: например, гарантирование того, что проект будет развиваться в определенном таймлайне. И, соответственно, функция СТО заключается в том, чтобы ставить верхнеуровневые задачи и контролировать их своевременное выполнение.

– Сколько человек работает в проекте?

– Сейчас в проекте работает 12 инженеров. Характер задач предусматривает, что уровень программиста должен быть выше, чем уровень простого разработчика. Инженеры могут самостоятельно принимать решения, проектировать компоненты продукта.

– REMME создавался в 2015 году как IT-стартап? Кто его начинал? Кто финансировал проект первые три года?

– Этот проект начинал Александр Момот, который на данный момент является СЕО компании. Идея основывалась на личном опыте. Саша был участником ICO Ethereum. Через несколько лет после его инвестиций (это случилось, когда цена ETH увеличилась) он понял, что не может вспомнить пароль кошелька. После нескольких дней мозгового штурма и попыток взломать кошелек он наконец вспомнил пароль. Именно так родилась идея REMME WebAuth – аутентификация без пароля пользователя.

Технический директор стартапа REMME: «Задача секьюрити-инжиниринга – сделать атаку как можно более дорогой»

– Почему вас пригласили в проект? Для чего понадобился новый СТО?

– Появились определенные процессы в разработке, которые требовали более комплексного подхода. В целом СЕО должен заниматься другими задачами – определять стратегические цели компании. Соответственно, возникла необходимость в СТО, который наладил бы процессы и запустил полноценную разработку продукта. Был проверен ряд технических гипотез, выпущено несколько демоверсий продукта, и с этим проект вышел на Token Sale.

– Расскажите, в чем суть продукта REMME.

В 2015 году проект представлял собой решение, которое предусматривало уход от пароля в аутентификации с использованием SSL-сертификата.

Изначально было несколько идей самого решения. Например, мы хотели, чтобы наша программа запоминала дополнительные данные, такие как геолокация, IP и т. д., и сохраняла эту информацию в блочной цепочке. Но во время разработки мы поняли, что работать с несколькими критериями одновременно не очень хорошо. Лучше использовать один постоянный критерий. Поэтому мы придумали идею создания «цифрового паспорта», представленного сертификатом.

На сегодняшний день идея и концепция REMME превратились в гораздо более широкое и сложное решение, состоящее из трех основных блоков:

  • Протокол REMME PKI (d) протокол с открытым исходным кодом, который использует технологию блокчейн для замены традиционных централизованных институций.
  • Приложения (dApp) WebAuth/OAuth реализация протокола для решения конкретных случаев использования: аутентификация пользователя, аутентификация девайса и т. д.
  • REMME Certificate life management system (CLM) энтерпрайз-решение для управления жизненным циклом сертификатов.

– То есть идея проекта в том, чтобы не вводить пароль, а иметь файл на флешке или на компьютере?

– Да, файл, который секьюрно сохраняется у вас, и с помощью которого вы аутентифицируетесь. Если вы обладаете неким устройством, то являетесь владельцем и всех данных, которые сохранены на этом устройстве.

– И если у меня украли компьютер или этот файл, то человек сможет зайти с его помощью в мой аккаунт? Все равно остается физическое хранение доступа, условно говоря, как ключ от двери?

– Нет, зайти не сможет. Потому что ваш смартфон, ноутбук или десктоп обычно защищен биометрией, пин-кодом или паролем. Кроме того, для защиты важных данных обычно используется дополнительная двухфакторная аутентификация. Но физическое хранение остается. Просто статистика показывает, что это более безопасно, чем пароли.

– На каком этапе проект пришел к необходимости использовать блокчейн?

– Блокчейн изначально планировался, так как существующие технологии управления сертификатами имеют уязвимое место – наличие единой точки отказа. Как правило, это централизованный сервер, в котором хранят данные о сертификатах, о корневом сертификате, на основе которого создаются дочерние. Соответственно, атака на единый центр влечет за собой падение всей системы и всех клиентов, которые используют данные сертификаты.

– Украсть его можно только физически, а вот «положить» сам сервер, чтобы никто не смог авторизоваться, возможно?

– По каким-либо причинам корневой сертификат может быть скомпрометирован – соответственно, все клиенты, которые пользовались услугами данного вендора, потеряют доступ к сети передачи данных.

– Значит, существующая система сертификатов уязвима к вредительству? А блокчейн решает именно эту проблему?

– Да, по сути, любую систему можно взломать. Задача секьюрити-инжиниринга – сделать атаку как можно более дорогой. Блокчейн, благодаря своим свойствам распределенности, наличия таких механизмов, как криптография, математические подходы, которые лежат в основе консенсуса, обеспечивает определенный уровень безопасности системы и отказоустойчивости.

Этот уровень намного выше, чем для централизованной системы, когда есть центр, на который можно совершить атаку.

Технический директор стартапа REMME: «Задача секьюрити-инжиниринга – сделать атаку как можно более дорогой»

– Как продукт должен работать технически?

– Я, как пользователь, генерирую сертификат (файл определенного формата) у себя на локальном устройстве и отправляю запрос на сохранение информации об этом ключе в блокчейн. Блокчейн проверяет, является ли валидным этот сертификат, то есть имел ли я право его сгенерировать. Если это так, то он сохраняет данные сертификата в блокчейн и хранит его. В момент, когда я хочу получить доступ к системе, я прихожу с этим сертификатом в определенный веб-сервис и логинюсь с помощью этого ключа.

То есть ключ сохраняется в так называемом keys storage – это локальное хранилище, которое зависит от операционной системы. Веб-приложение обращается к моему хранилищу, видит этот файл, проверяет его в блокчейне. Если все ок, то приложение меня авторизирует. Нода в блокчейне должна подтвердить, что эта информация сохранена и она валидна. Соответственно, у нас нет единой точки, чтобы атаковать систему. Для этого нужно атаковать несколько сотен нод. В августе мы запустили тестнет, который открыт в публичном доступе. Все могут протестировать эту технологию, на GitHub есть открытый протокол, и каждый владелец веб-сервиса уже может его использовать.

– Сколько денег было потрачено до Token Sale? И чьи это были деньги?

– С начала существования и практически до Token Sale проект финансировал один из фаундеров – Александр Момот. Это были его личные средства, которые он получал от продажи майнингового оборудования. Перед Token Sale было привлечено около $200 000 от украинского криптокомьюнити. Потрачены они были приблизительно поровну на бизнес-девелопмент и маркетинг.

– Было ли предусмотрено вознаграждение по итогам Token Sale?

– Команда получила небольшой бонус в виде надбавки к заработной плате за переработку. Подготовка к Token Sale и сам сейл были очень напряженными. Некоторые буквально ночевали в офисе накануне.

– Как распределяются деньги, полученные на Token Sale?

– Перед Token Sale даются определенные планы по использованию средств, собранных на сейле. По совету наших финансовых эдвайзеров, мы зафиксировали определенную сумму в фиате на разработку на два года. Разбивка была приблизительно следующей: 35% research and development, 25% business development, 20% operations, 15% marketing, 5% legal. Как видите, все средства направляются на разработку и развитие продукта. Таблица распределения находится в свободном доступе на сайте Token Sale. Каждый может зайти и проверить. За рамки этих расчетов мы не выходим.

– Но какая-то часть денег была же выплачена руководству компании?

–  Руководство компании – это ее создатели, которые вкладывали личные средства в развитие проекта. Они не получали заработную плату на протяжении трех лет существования проекта. Первая выплата была только спустя несколько месяцев после Token Sale. К слову, заработная плата двух кофаундеров по размеру только на 5–6 месте в компании.  

– А что случилось c капитализацией компании летом? На данный момент она упала в пять раз с момента Token Sale.

– На момент Token Sale стоимость Ethereum (эфириум) составляла порядка $850. Цена токена на тот момент отображала реальное развитие проекта.

Капитализация компании упала приблизительно пропорционально падению эфириума. К сожалению, все ЕRC20 токены имеют сильную связь с эфириумом. Мы работаем над тем, чтобы нивелировать это влияние с помощью токенэкономики.

– С учетом того, что стоимость эфира упала, текущая капитализация проекта эквивалентна $3 млн. Правильно ли мы понимаем, что собрали $17,5 млн, а реально на данный момент есть $3 млн?

–  Нет, не правильно. На обычных рынках капитализация компании включает в себя стоимость компании, акции которой котируются на бирже, плюс дополнительные активы. Сумма, которую мы собрали уменьшилась из-за падения цены эфириума и рынка в целом. Но, во-первых, мы зафиксировали часть суммы на развитие в фиате. Во-вторых, частично диверсифицировали риски за счет других криптовалют. Плюс 20% токенов (часть, которую планируется распределить между командой) не размещались на бирже и т. д.

То есть существуют дополнительные активы, которые входят в общую капитализацию компании, но не отображаются на coinmarketcap. В этом особенность рынка криптовалют, он не показывает полную картину.

– Сколько стоит разработчик на блокчейне?

– От $5000 – это средний уровень по рынку.

– Насколько компетенция в блокчейне в резюме увеличивает эту стоимость?

– В нашем случае, наверное, никак не увеличивает. Нам нужны квалифицированные сотрудники в проекте, потому что задачи достаточно сложные, и на первой стадии это должны быть те, кто сможет принимать решения в своей зоне ответственности. В этом случае блокчейн не играет такой роли, ресурсы расходуются очень экономно.

Технический директор стартапа REMME: «Задача секьюрити-инжиниринга – сделать атаку как можно более дорогой»

– Сейчас в команде работает 12 программистов, и им выплачивается зарплата?

– Конечно

– Из этого фонда и в эфириуме?

– Заработная плата разработчикам выплачивается из фонда, направленного на развитие проекта. Номинируется она в эфириуме, начисляется в долларах, но выплачивается согласно законодательству Украины в национальной валюте – гривне.

– То есть если 12 человек получают по $5000, то бюджет в 3 млн выглядит уже не так впечатляюще.

– Возвращаясь к вопросу о капитализации, 3 млн – это только часть. Наш берн рейт в 5–10 раз ниже, чем в западных компаниях, которые собрали аналогичную сумму в крипте. Те деньги, которые мы перевели в фиат сразу после Token Sale, позволяют не сжигать крипту по сниженным ценам еще на протяжении двух лет. Общий запас по текущим курсам около 50 месяцев.

– Насколько цена токена сейчас важна для компании?

–  С финансовой точки зрения сейчас цена токена не важна, но с точки зрения восприятия инвесторов она важна всегда.  Это одна из причин, из-за которой мы приняли решение не распределять токены компании между сотрудниками до тех пор, пока рынок не стабилизируется. К слову, эдвайзеры, которые получили вознаграждение в токенах после  Token Sale, не продали их спустя уже девять месяцев. Это можно проверить на masterwallet. 

– То есть это просадка рынка, а не распродажа со стороны инвесторов, которые хотели «хайпануть», а потом слить?

– Продала незначительная часть инвесторов. И это нормально. Большая часть холдит. Потому что технологически это продукт, а не криптовалюта. А изначально ценность в продукте.

– Зачем мне покупать токены REMME? Чтобы потом получать ревард?

– В зависимости от ваших потребностей. Это может быть как бизнес, который планирует интегрировать решение REMME и оплачивать хранение публичных ключей в блокчейне в токенах. Либо вариант, когда вы хотите быть владельцем мастер ноды, которая поддерживает работу сети и получает вознаграждение за валидацию транзакций. Сегодня это основные направления, но будут и другие опции, исходя из вариантов использования протокола и роли участника в экосистеме.

Это принцип Proof of Stake?

– Скорее, Proof of Service. Сеть будет держаться на мастер нодах, которые являются валидаторами и обеспечивают безопасность и выполнение определенных сервисов в сети. И для того чтобы создать мастер ноду, нужно быть владельцем и заморозить определенное количество – от 250 000 токенов – на мастер ноде.

– А вы отслеживали, в каком процентном соотношении спекулянты и желающие содержать мастер ноду покупали токены на Token Sale?

– Я не анализировал Token Sale с этой точки зрения. У нас были другие технические задачи: к этому времени нужно было выпустить первый релиз. За неделю до февральского Token Sale мы с этим успешно справились, проведя первый релиз альфа-версии.

Половина токенов, купленных на Token Sale их держателями, планируется для покупки мастер нод и их эксплуатации. Это не говорит о том, что другие токены – для спекуляции. Возможно, часть из них пойдет на использование продуктов. Конечно, какое-то количество спекулянтов на рынке всегда присутствует. Мы – не большой хайповый проект, и потому процент спекулянтов у нас маленький. Но зато мы имеем качественную аудиторию, которая верит в продукт.

– На чем планирует зарабатывать проект? Решения для бизнеса будут платными?

- Как я уже говорил выше, сейчас REMME представляет собой комплекс решений. Соответственно, будет несколько бизнес-моделей.

Если мы говорим о протоколе REMME, то основным двигателем будут разработчики и компании-интеграторы. В рамках open source модели REMME-протокол свободен к доступу, деньги зарабатываются через транзакции, техническую поддержку, дополнительные юзкейсы и решения на основе протокола.

Например, для энтерпрайзов, вместо того чтобы полагаться на пароли, REMME предлагает децентрализованную версию PKI (d), которая позволяет клиентам/сотрудникам регистрироваться в своем веб-приложении на любом из своих устройств с цифровыми сертификатами. Есть также REMME IoT-интеграция. Чтобы обеспечить безопасную коммуникацию IoT-устройств (передачу данных и т. д.), REMME предлагает децентрализованную версию PKI (d), которая использует асимметричную криптографию для аутентификации. На устройстве размещается цифровой сертификат (приватный ключ), а публичный ключ хранится на блокчейне.

В случае с CLM – модель немного другая. Это облачное решение относится к модели software-as-a-service, предоставляется по подписке. Эта часть платформы будет предоставлять сервисы, к которым компании привыкли. А блокчейну в этом случае отведена роль внутреннего механизма, который улучшает качество решения.

Сейчас эта стратегия в стадии разработки. Для энтерпрайза магия не нужна, нужны понятные цифры.

– Продукт на блокчейне позволит и экономить, и увеличить безопасность или только увеличить безопасность?

– И то, и другое. Экономия возможна на транзакционных издержках – содержании инфраструктуры certification authority, о котором будут заботиться владельцы мастер нод. Здесь и сосредоточен главный эффект блокчейн-проектов: сетью управляет не какая-то конкретная компания, а сообщество, которое сформировано вокруг этого проекта. И они, соответственно, получают вознаграждение, так как предоставляют все эти сервисы как часть сети.

– Эта модель не будет привязана к блокчейну, к токенам?

– Для клиентов будет опция оплаты и в привычной валюте, и в фиате. Но внутри будет работать токен-экономика.

– Значит, в основе любого продукта, который построен на блокчейне – будь то смарт-контракты, аутентификация, переход права собственности, лежат некие токены. А поскольку мастер ноды должны подтверждать эти транзакции, то за них нужно платить. Но не централизованному сервису, а владельцам этих монет?

– Владельцам мастер нод, которые формируют эту сеть. Аналогично тому, как вы оплачиваете облачные сервисы.

– Но платить нужно будет именно в эфириуме?

– Так как мы будем работать с корпоративными клиентами, для многих из которых криптовалюты – это что-то неизвестное, то будут предоставлены удобные сервисы биллинга, которые обеспечат привычную оплату с помощью фиата. А внутри будет механизм конвертации фиата в токен REMME, чтобы участники сети зарабатывали на каждом новом клиенте.

Но также предусматривается работа протокола и на инфраструктуре клиента. То есть клиент сможет развернуть на своей инфраструктуре сайд-чейн, и в этом случае также предусматривается определенный механизм вознаграждения сети.

– Сколько еще времени нужно REMME, чтобы реализовать проект?

Первая версия продукта REMME PKI (d) (протокол) сейчас стабильна и работает в тестовой среде, а вторая версия в mainnet запланирована на І квартал 2019 року. Также параллельно ведется работа по REMME WebAuth. Конечно, он привязан к запуску блокчейна, поэтому ориентируемся на І квартал 2019 года. REMME CLM сейчас тоже в работе. Первую версию также ожидаем в конце І квартала 2019 года.

– Но пока нет клиентов?

– Есть ряд пилотных программ, в рамках которых мы работаем с потенциальными клиентами. Также мы в процессе подписания документов с крупным клиентом, и как только закроем все юридические вопросы – обязательно опубликуем эту информацию.

– Как происходит продажа продукта?

– За развитие этого направления отвечает Head of Business Development  Сид Десаи. Сид присоединился к команде в июле 2018 года. Для каждого из продуктов всей линейки предусмотрена своя стратегия продвижения. Я думаю, Сид сможет лучше рассказать о тонкостях продаж продукта. Я, как CTO, отвечаю за техническую часть, обеспечение запуска протокола и его стабильную работу.

– Много ли в мире ваших конкурентов с подобными решениями?

– На данный момент на рынке нет решения, которое было бы готово к использованию. С одной стороны, есть пара похожих продуктов, основанных на блокчейн, но все они находятся в базовом виде. С другой стороны, есть стандартные, привычные рынку решения, у которых нет преимуществ блокчейн-технологии.  Мы же хотим выстроить все элементы и полностью наладить процесс. Чтобы клиент мог легко использовать наше решение, как уже привычное, но с преимуществом децентрализации.

Корпоративный сектор очень консервативен. Хотя специалисты уже сейчас начинают понимать, что централизованная система весьма уязвима, и с интересом рассматривают новые, нетривиальные решения.

Следите за актуальными новостями бизнеса и экономики в наших Telegram-каналах Mind.Live и Mind.UA, а также Viber-чате