В статье проведен аудит технической составляющей проекта MyCryptoBank: безопасность, методы сбора денег на ICO, заявленное MVP, видео ролик, Белая бумага. Выявлены слабости по многим пунктам. По части методов сбора денег наблюдается чрезвычайно подозрительная ситуация: якобы серьезные сборы в $5M, без возможности их проверить, смарт контракт ICO вообще отсутствует. Это может стать легкой основой для критики проекта разными обозревателями ICO, несмотря на хороший бизнес-рейтинг. Итоговый технический рейтинг, проведенный CryptoB2B для MyCryptoBank 26 июля 2018: 0 из 10, плохо.
Анализ MVP: лукавство
Важное примечание. Анализ этого видео и других пунктов проведен в этой главе только потому, что проект активно намекает на близость к MVP. Для чего так сделано? Вероятно, чтобы улучшить свое конкурентное преимущество. Но на самом деле никакого MVP нет, а что есть — вызывает вопросы. Наличие MVP не является обязательным для выхода на ICO. Когда есть намеки на MVP и они не совсем честные, это вызывает порицание, что и является идеей данной главы. Делать описанные шаги надо, но не следует выдавать это за свое достижение.
Рассмотрим видео и некоторые полезные кадры. Посмотрите видео, оно красивое и объясняет, что на нем было обнаружено:
Кошелек, на который актер (вероятно, сотрудник компании) получал деньги — 0x6218b34448a0f802794021c967898c5c1175fd54. В Etherscan смотрим транзакции:
https://etherscan.io/address/0x6218b34448a0f802794021c967898c5c1175fd54
0,5778365 ETH — это та сумма, что пришла по чеку. Из скриншота видно, что эта сумма поступила не из их системы, а с биржи Bitfinex. Судя по легенде, MVP уже есть и видео должно быть более-менее приближено к реальности и не быть художественным вымыслом. Первое, что очевидно: видео — фейк, в том смысле, что сумма пришла с биржи. Само по себе видео нормальное, поясняет будущую задумку, основатели молодцы. Но таких видео, где люди элегантно платили за кофе в кафе биткойнами и демонстрировали эти ролики на ICO — довольно много, все уже видели. К сожалению, кофе за криптовалюту пока не купить.
Второе. Если бы Etherscan не знал, что это кошелек биржи, он бы не написал «Bitfinex». Авторам ролика следовало бы воспользоваться переводом денег со своего соседнего кошелька или хотя бы одним из многочисленных обменников, чтобы имитировать наличие MVP. Тогда бы отправитель был не «Bitfiniex», а неопознанный кошелек (его бы тоже можно было распознать как обменник, но намного сложнее). Если покупка была с биржи, следовало бы переделать ролик, найдя эту ошибку. К сожалению, две ошибки в одном месте говорит о недостатке планирования. Никто из команды проекта не догадался посмотреть собственные транзакции в Etherscan — глупость и небрежность (когда вымысел выдают за MVP).
Третье. Это не минус, просто мелкое наблюдение — зачем надо было покупать криптовалюту реально через биржу? Ведь проще было с соседнего кошелька завести. Вероятно, на тот момент свободных денег не было. Что тоже говорит не в пользу наличия MVP, а в полное отсутствие финансовых операций в реальных блокчейнах.
В терминал деньги вставили в 20:18:12 (UTC+0). А в блокчейне они появились в 16:46:52 (UTC+0), т.е. на 3,5 часа раньше отправки. Это значит, что основатели компании помимо новой эры в финансовой сфере легко используют нюансы пространственно-временного континуума, когда сначала вам поступают деньги на счет из будущего (новая форма кредита?), а потом следует перевести пришедшую сумму обратно в прошлое и восстановить равновесие во вселенной.
Курс на момент покупки был $519.18. Судя по Coinmarketcap в 22 июня в 20:18 (UTC+3) курс ETH/USD был около $480. Комиссия системы ~8%. В уже существующей и удобной системе ePayments комиссия на ввод/вывод криптовалюты на свою банковскую карту — около 1-2%. Снятие наличности с карты ePayments: от 1-2% (не реклама, сравнение). В главах ниже число «8%» авторы припишут «Другим банкам» и сообщат, что их комиссия «от 0.1%» — разница до 80 раз!
Далее. В меню имеется «OUR MVP», переходим туда:
Откроется сайт, напоминающий биржу:
https://mycryptobank.1bit.online/eth-btc
Какое это имеет отношение к MVP (терминалам, покупке за фиат, работы с картой)? Не беремся утверждать, но на первый взгляд — никакого отношения не имеет. Далее, рассмотрим на этом сайте подпись и копирайт: «Copyright © 2014-2018 Powered by Merkeleon Exchange Software«. Ссылка в подписи ведет на www.merkeleon.at/ru/exchange/, где, вероятно, любой желающий может под своим брендом создать себе клон криптообменника или биржи. Это даже не WhiteLabel от merkeleon.at, за который надо было бы заплатить приличные деньги, а просто рядовой аккаунт.
Так же посмотрим на дорожную карту:
Получается, чтобы зарегистрироваться в компании Merkeleon Exchange Software и повесить чужой продукт на собственном домене mycryptobank.1bit.online — для этого нужен отдельный этап (#2) в дорожной карте!
Так же не ясно о чем написано в пунктах #2.1 и #3, т.к. проект использует готовую крипто инфраструктуру чужого проекта, где все это уже реализовано. Остается только чужой API изучить, пройти регистрацию своего юр.лица и, конечно, потратить основное время на разработку мобильного приложения и backend с API.
Итого:
- Видео ролик — вымысел. Это не демо MVP. Есть ошибки, которые поленились поискать / исправить.
- На MVP имеются намеки. Однако, MVP не обнаружено. Кнопка «OUR MVP» — ложь (и в слове «our», и в слове «MVP»).
- Ждем 30 августа — срок разработки этапа #4. Зная о сложности разработки, искренне желаем проекту уложится в срок.
Виджет сбора средств: халтура
Не удалось понять главное — сколько денег уже собрано? Вроде, ICO запущено. Вроде, какая-то полосочка. Но не понятно:
- синий фон на зеленой полоске это временной интервал до какого-то окончания (либо раунда, либо бонусного периода, либо всего ICO) ?
- или синяя полоса это сумма сбора?
- условный % сбора денег от какого именно Hardcap (либо pre-sale, либо всего ICO) ?
- сам Hardcap в токенах 795,500,000 от чего именно Hardcap (либо pre-sale, либо всего ICO) ?
- а телефон справа — что это (картинка, в каких валютах собрали деньги или просто скриншот продукта — вводит в заблуждение) ?
- сколько токенов уже продано?
- где распределение сборов по кошелькам?
- где посмотреть кошельки с целью провести аудит полученных денег?
К сожалению, основатель проекта не может изложить даже такие примитивные вещи понятным образом. Вынуждены заметить, что по качеству пользовательских интерфейсов первого продукта компании (ICO лендинг) можно косвенно судить о недостатках качества будущего проекта. Следует реализовывать главную страницу ICO сайта так, чтобы беглого осмотра было достаточно для мгновенного понимания всех нюансов текущего статуса ICO без дополнительных движений / вопросов / поисков.
На сайте https://icoholder.com/en/mycryptobank-22555 написано, что собрано ~30% от hardcap первого раунда pre-sale. Но почему этого не видно на собственном сайте? Судя по всему, текущие сборы в районе $5M, а hardcap на первом раунде около $15M. Кошельки для поиска 5 миллионов долларов — отсутствуют. Аудит намеренно затруднен.
Итого:
- Техническая отсталость в пользовательских интерфейсах.
- Опасная небрежность: сумма сбора не проверяется (либо основатель не понимает идеологии блокчейна, либо сборов вообще нет).
Процедура сбора денег: ужасающе
Проект предлагает купить токены за фиат, BTC, ETH, LTC и BCH. Взамен, когда-нибудь, после ICO обещают выслать токены в блокчейне EOS. При этом там так и написано — что сейчас вы можете EOS не вводить. Обратите внимание, что сбора в той валюте (EOS), на которой собираются делать проект — нет. Вы НЕ можете заплатить в EOS. Разумеется, какие-либо намеки на смарт контракт EOS по приему денег для обеспечения прозрачности их сбора — полностью отсутствуют. Инвестор не может провести аудит смарт контракта токена, его вынуждают сначала заплатить деньги.
В Личном Кабинете при попытке оплатить в любой криптовалюте Личный кабинет генерирует персональный кошелек сбора денег:
Проверяем выданный адрес (в красной рамке) в blockchain.com:
Никаких транзакций нет. Аналогично проверяется ETH — там тоже создается уникальный кошелек под клиента, без намеков на смарт контракт.
В целом данный Личный кабинет фактически отсутствует. Он не управляет никакими сборами, а просто генерирует кошельки. Это экстремально низкий по техническому качеству и максимально непрозрачный способ проведения ICO, когда основатели намеренно используют шаблон с персональными кошельками, чтобы аудитор не имел никакой возможности проверить реальное кол-во собранных денег. Утверждать наверняка нельзя, но это напоминает мошенничество: судя по легенде, собрана внушительная сумма (неизвестно даже какая!), но никаких следов обнаружить не удалось. Личный кабинет от CryptoB2B обладает прямо противоположными свойствами — все сборы на единый адрес, максимальная открытость, легкость проведения любого рода аудита (типа проверки, сколько реально собрано денег прямо сейчас), максимальная защищенность инвесторов от основателей проекта. Минус ICO платформы от CryptoB2B — она НЕ подойдет тем основателям компании, которые хотят скрыть свои сборы, как в данном случае.
В регламенте проведения ICO в MyCryptoBank полностью отсутствуют какая-либо защита прав интересов инвесторов. Суть блокчейна — никто никому ничего не должен обещать. Суть смарт контракта для ICO — честно, автономно, прозрачно обменивать поступающие деньги на токены. В данной ситуации любая опция ICO является ложью (не подтверждена смарт контрактом) и будет исполняется лишь по доброй воле основателя, лишь в ручном режиме после получения всех денег на личный кошелек:
- softcap объявлен, но он ложный (требуется добрая воля основателя, чтобы вернуть деньги)
- hardcap объявлен, но он ложный, ничто не мешает продолжить сбор денег до $1,7 млрд + $1
- начисление бонусов никак не защищено (требуется добрая воля основателя, чтобы честно их распределить)
- безграничные права основателя над кол-вом токенов, которые можно оставить себе или не выдать инвестору
- смарт контракт EOS отсутствует, инвестору предлагается купить непонятный токен
- блокчейн программисты, вероятно, еще не освоили EOS или они вообще отсутствуют в проекте
- список можно продолжать, но не имеет смысла в силу полного отсутствия управляющего смарт контракта
Все ICO организовано на очень низком техническом уровне, из чего делаем основных 3 вывода:
- это повод усомниться в честности основателей проекта (огромное подозрение в честности сборов, но фактов нет)
- злостная профанация идеологии блокчейна, где никто никому ничего не должен обещать
- показная низкая техническая реализации первого продукта компании (процедуры сбора денег в ICO), что бросает тень на качество будущего проекта и перспектив заработать на вложении в него сейчас
Дополнительная угроза инвестору
Когда Личный кабинет выдает кошелек для оплаты инвестору, у того нет никаких инструментов проверить, корректно ли это. Когда сборы поступают на единый кошелек для каждого блокчейна, то перед оплатой его можно проверить — в телеграм канале проекта, в почти уже умершим Bitcointalk, в Белой бумаге, в других местах.
Если случится одно из следующих событий:
- хакер полностью подменил алгоритм генерации всех кошельков и закрытых ключей к ним
- хакер выборочно редким инвесторам подменяет кошельки, чтобы его не сразу поймали
- нелояльный сотрудник (программист) или другие лица (сотрудники хостера) делают тоже самое (массовую замену или тайную, понемногу)
- программист ненамеренно сломал алгоритм выдачи кошельков (массово или выборочно)
- программист / основатель потеряли базу закрытых ключей создаваемых кошельков (если они генерируются не по базовому BIP32 Root Key или аналогу)
то инвестор никак не сможет от этого защититься. Даже при всем его желании подобные методы организации Личного кабинета — порочная практика, связанная с облегчением работы программиста по идентификации платежей (грубо говоря — связано это с ленью, неопытностью разработчиков, дешевизной продукта, тотального игнорирования потребности быть готовым к аудиту).
Если случится описанная проблема, то инвестор никак не докажет, что именно сайт заставил его перевести деньги на неверный адрес. Когда в ICO применяется единый адрес сбора для каждого блокчейна, то в случае взлома это становится известно всем, особенно сотрудникам компании, довольно быстро (паника в чате, как правило). С индивидуальными кошельками — проблема может быть не обнаружена сколько угодно долго. Угроза потерь собранных денег — угроза благосостояния всего проекту.
Защита через Cloudflare: халтура
Проект защитил свой сайт через известный анти DDoS сервис — молодцы. Однако буквально в 2 клика можно найти настоящий IP адрес 199.247.29.198. Есть очень низкая доля вероятности, что это не настоящий сервер, а полная копия (вероятность 1%). Для обычного ICO лендинга вряд ли бы запускали несколько зеркал. Убедиться, что это реальный IP можно следующим образом.
Первое, запросим сайт проекта через Cloudflare, загрузив https://mycryptobank.io/any-fake-path
Одновременно и параллельно загрузим страницу http://199.247.29.198/any-fake-path
Из скриншотов видно:
- на 2х серверах одинаковое время с точностью до секунды
- совпадение версии сервера и общего вида шаблона
- редирект с IP на главный адрес
- следовало бы провести исследование далее, чтобы гарантировать и другие совпадения
Это говорит о слабом техническом уровне соответствующих специалистов, что не смотря на внешний лоск («мы защитились через Cloudflare»), на деле ничего нет. В CryptoB2B услуга «Подключиться к Cloudflare» подразумевает то, что настоящий IP адрес было бы не достать. Своими силами некоторые виды работ проводить не рекомендуется, у программистов просто нет опыта. Шанса провести успешное ICO если и есть, то дается не более 1 раза в жизни. Ухудшать такой шанс технически неподготовленными решениями неразумно. Второго шанса не будет из-за очень низкой вероятности для каждого конкретного человека принять участие в своей жизни хотя бы в одном собственном крупном проекте.
Анализ Белой бумаги
Был проведен лишь поверхностный анализ, т.к. подобных проектов было много и ситуация ясна. Данная критика вовсе не направлена на дебаты — нужен ли проект. Такие проекты очень нужны. Но грубые нарушения в Белой бумаге так же не допустимы.
В этой таблице слишком много маркетингового вранья. Если основатели проекта сравнят себя хотя бы с ePayments, то картина радикально поменяется. Не реклама ePayments, но это давно запущенная и работающая система, включая DEX, которая уже все реализовала (+много других функций, типа Swift перевода в местный банк РФ). Система сложна, имеет много дорогих направлений конвертации. Но несколько вариантов обмена денег (ввод/вывод) практически бесплатные, включая DEX, примерно 2%. Или возможность получать в банкоматах Бинбанка наличные с собственной карты практически бесплатно при снятии крупных сумм от $1000! Это в 4 раза меньше, чем написано в таблице. Это даже дешевле Yandex.money & Webmoney в некоторых случаях.
Похвально, что далее в Белой бумаге проект оценивает конкурентов, однако, забыли про некоторых, уже запущенных — недоработка или лукавство.
Особо отметим пункт:
К сожалению, практически любая функция в подобного рода проекте будет являться централизованной и выполнятся в обычном SQL. Эксплуатация слов «блокчейн», «децентрализация» должны иметь обоснования. Если рассмотреть любой шаг системы, любая страница мобильного приложения этого проекта — это традиционные SQL запросы. Так же владение всей инфраструктурой (обычным кодом и мелким набором смарт контрактов — примерно 0,1% общего кода) будет централизованным, т.е. управляться из офиса проекта. Редкие функции, типа DEX или перемещение токенов, действительно, децентрализованы. Автор слов на скриншоте слабо понимает суть термина «децентрализация».
С другой стороны, по сравнению с другими ICO, у данного проекта не наблюдается чрезвычайный избыток слов «blockchain» и «децентрализация» — это положительный момент.
Желание проекта оставлять себе слишком много токенов — порочно:
Для фонда достаточно выделить всего несколько % токенов, например 3%. При сборе Hardcap 3% это около $3,000,000. Если проект сумеет использовать в обороте такую внушительную сумму, он однозначно уже стал крупным, успешным, получил доход и вполне может нехватку токенов пополнить — просто выкупая их.
В силу большого кол-ва ICO, проведенного в CryptoB2B, известна статистика, что почти каждый основатель пытается под фонд оставить 10-20% токенов (помимо токенов для команды, маркетинга и пр). Почти всегда удается убедить основателя не жадничать. Ведь проект и так получает 100% всех денег, от чего не следует еще и 35% токенов отнимать у инвесторов.
Схема распределения денег вызывает вопросы:
Потратить $30,000,000 на разработку — сомнительная идея, вызывающая вопросы. Так же с технической точки зрения сложно оценить, чем пункты отличаются друг у друга, что так же вызывает подозрение в тщательности подготовки легенды.
К техническому анализу не относится, но Hardcap в $100M — перебор и шанс для всех отфильтровать проект только по этому показателю (из-за scam риска).
В Белой бумаге полностью отсутствуют:
- технические особенности реализации проекта (но в силу очевидности цели проекта, это не является критичным минусом)
- обоснование выбора EOS
- описание особенностей EOS, по сравнению с другими блокчейнами
- схемы и наглядные картинки (которые ничего не значат и технических деталей все равно не раскрывают)
Промежуточные итоги
- Процедура сбора денег — в миллиметре от мошенничества
- DEX с сайта — не принадлежит проекту
- Мобильного приложения или MVP — нет
- Личный кабинет — сторонняя поставка
- Смарт контракт на ICO отсутствует, организация сборов денег на недопустимо низком техническом уровне
- Фактически, команда основателей создала только: ICO сайт (некачественно) + Белую бумагу + видео-ролик (оплошности)
- Команда открыто пренебрегает идеологией блокчейна уже на ICO и демонстрирует низкое качество продуктов
- Тема выбора EOS не освещалась
- Некорректное сравнение с конкурентами (но, хорошо, что попытка это сделать имелась)
- Положительным моментом является актуальность подобного рода продуктов
- Размер доходности проекта и токена из-за небольших комиссий — сомнительны
- Слабый технический бекграунд команды
- Положительный момент — инфраструктурный проект
Бизнес оценка от разных агентств кажется завышенной. Ажиотажа не наблюдается. Риски — существенны. Однако, в данном обзоре мы рассматриваем только технический аспект, т.е. третий вид рейтинга. Картинка приведена для справки.
Разное
Видео на сайте вызывает вопросы. Кто является целевой аудиторией таких терминалов? Возникает много вопросов, если начать обдумывать реальные сценарии такого повседневного поведения людей: когда и зачем они за фиат будут покупать криптовалюту? Скорее всего, это будет слабо востребованный функционал, когда кому-то надо будет анонимно купить криптовалюту (идентификация по телефону и смс при желании обходится).
Не следует стеснятся того, что команда — российская. В мире отсутствует какое-либо предвзятое отношение к россиянам по не политическим вопросам, типа ICO и разработки. Примерно 50-60% всех ICO мира: из РФ или с участием русскоговорящего жителей разных стран.
В сообщениях от админа чата KBree содержится неточность — в EOS купить токены нельзя, такой способ в Личном Кабинете отсутствовал. А по кредитной карте есть ограничение в $500, что говорит о недостатке в тщательном выборе финансовых партнеров. Вероятно, с суммы свыше $500 финансовый партнер компании требовал бы проходить KYC. К слову, CryptoB2B предлагает в своей ICO платформе партнера, который работает с картами без лимита в $500 и не требует от покупателя токенов вообще ничего: ни телефона (в проекте требовался), ни других персональных данных.
Выход из ситуации
Существует регламент проведения ICO, когда права основателя проекта настолько сильно ограничены, что у него нет лазеек к бесконечной эмиссии токена, манипуляции со стоимостью токена (бонусами), невозможно игнорировать или обойти Softcap и прочее. Критика была бы бессмысленной, если бы решения не существовали, однако, они есть. Суть блокчейна в том, что это реализуемо. Суть критики:
- основатели пошли на ICO и были не осведомлены об этом
- порицание общего ужасающе низкого технического качества реализации блокчейн решений, начиная с методологии честного обмена денег на токены
Первое, что вызывает наибольшие подозрения в честности проекта — отсутствие способа проверить сборы. Если деньги есть ($5M?) — их нужно открыть. CryptoB2B категорически против интернет деятелей (не имеющих технического background), которые умеют произносить только слово «scam» и обвиняют в этом всех подряд. Но проект дает им повод это делать.
Второе, следует поставить ICO на паузу и разобраться с EOS, если проект выбрал именно его. Для этого в штате должен быть хотя бы программист смарт контрактов EOS. Заметим, что смарт контракт токена и для ICO писать своими силами все равно не нужно, т.к. это приводит к печальным последствиям, описанным в статье. Когда команда вообще не понимает, что ICO можно провести честно, автономно, заложив все обещания внутрь смарт контракта. Это не вина программиста, у которого и не могло быть опыта в десятках ICO.
Третье, необходимо использовать ICO платформу, обеспечивающую честность.
Четвертое — доработка исследования конкурентов и аргументации, почему данный проект сможет заработать, когда конкуренты уже существуют, уже завоевали рынок и уже имеют весьма низкие комиссии.
Во всей статье содержится частное оценочное суждение автора, которое было основано на поверхностном изучении проекта. К примеру, во время настоящего аудита под заказ, аналитики CryptoB2B тратят порядка недели на разного рода эмуляции, тесты и отладку, с надеждой принудить препарируемый смарт контракт к ошибочному поведению (в 95% всех аудитов удается это сделать). В поверхностном же анализе, на примере этой статьи, могут содержаться неточности.
Технический рейтинг проекта MyCryptoBank
Описание основной технической идеи? Положительно*, +3.
[-10=отстуствует, 0=нейтрально, +5=присутствует]
* — Хоть идея и отсутствует, а проект не описан и следовало бы поставить -3, но в силу очевидности это можно додумать самому
Найдено ли явное техническое вранье (мошенничество)? Найдено, -2.
[-10=найдено, 0=не оценивали, +3=позитивно]
Имеет ли отношение к блокчейну основные функции проекта? Почти инфраструктурный, +5.
[-10=не имеет, 0=имеет, +10=экосистема]
Адекватность продажи токенов, защита интересов инвесторов? Ужасающе (негативно), -10.
[-10=нарушения, 0=не оценивали, +5=честное ICO]
Качество кода, ошибки в смарт контракте? Не оценивали, +0.
[-10=найдены ошибки, 0=не оценивали и/или ошибок нет, +5=хорошее качество]
Открытость к проведению аудита и ответам на неудобные вопросы? Не проводили, +0.
[-10=враждебность, 0=не проводили, +2=открыты к сотрудничеству]
Промежуточная оценка по формуле: +3-2+5-10+0-0 = -4 балла. Числа меньше нуля или более 10 округляются до диапазона [0…10]. Итого: «-4» округляется до «0».
Градации оценки:
- -50 … -21 = экстремально плохо
- -20 .. -10 = очень плохо
- -9 … +0 = плохо
- +1 … +3 = так себе
- +4 … +9 = позитивно
- +10 .. +20 = отлично
- +21 и более = превосходно
Итоговый технический рейтинг cryptob2b для проекта MyCryptoBank: 0 из 10, оценка — плохо.