torsdag 18. juni 2020

Robinhood-effekten og demokratisering av investeringar


Robinhood-effekten siktar til oppgangen i aksjemarknaden etter det store fallet, forklart som at amatørane stormar inn, primært gjennom bruken av investerings-appen Robinhood. Det er ein app som let folk flest investera i aksjar, børsnoterte fond (ETF) og opsjonar. Visjonen for selskapet er fin; det er å la alle få tilgang til finansielle marknader, ikkje berre dei velståande (som omtalt på Wikipedia). Billegast muleg handel er også eit kjenneteikn ved Robinhood. I tillegg til vanlege finansprodukt kan kundane også handla kryptovaluta (Bitcoin, Ethereum) gjennom appen.

Effekten av Robinhood er omdiskutert, men det er ikkje tvil om at mange har brukt appen for å investera i aksjemarknaden og at det til ein viss grad har påverka utviklinga. Dei tydelegaste utslaga ser me på det som blir kalla zombie-askjar; aksjar som etter alle solemerke ikkje er verdt nokon ting. Eksempel på slike aksjar er Hertz, som er i konkurs-karantene, og kanskje også Norwegian der aksjar har vorte omsett til ein kurs som gir ein heilt urealistisk verdi på selskapet.

Nedstenginga på grunn av Korona-viruset har ført til at mange har måtta halda seg heime, Nedstenginga har også omfatta det meste av sport, og dermed også stengt mulegheiten for tipping (eller "betting" som vel er det norske ordet no). Mange har sett seg om etter andre alternativ for spekulasjon, og aksjemarknaden har plutseleg vorte eit alternativ. Børsane har ikkje stengt ned, tvert om har dei gløda av aktivitet særleg etter midten av mars. I USA er det vist at mange av dei som mottok sjekken på $1200, brukte den til å handla aksjar gjennom Robinhood.

Minner om ICO-bølgja
Robinhood-fenomenet minner veldig om ICO-bølgja for eit par år sidan. ICO, som står for Initial Coin Offering, som spelar på IPO - Initial Public Offering (børsnotering), var eit fenomen som fekk særleg merksemd og omfang då kryptovalutaer generelt starta den veldige kursoppgangen i siste del av 2017. Ein ICO er rett og slett auksjonering av ein ny kryptovaluta, eller token. 'Token' er eit litt ullent begrep, men i denne samanhengen er det kryptovaluta som er laga ved hjelp av, og byggjer på, ei anna blokkjede med ein eigen valuta. Ethereum har vore den dominerande blokkjeda for etablering av nye token, og ICO-ar har vorte kalla Ethereums "killer app".

Dessverre ein typisk ICO: White paper som lovar gull og grøne skogar, resultatet noko heilt anna (om i det heile noko resultat)


Det har dessverre vore mykje svindel med ICO-ar, og det har overskygga det mykje viktigare spørsmålet om kven som skal få tilgang til å investera i nye bedrifter. Styresemaktene peiker på regulering som viktig for å beskytta investorane, i ICO og Robinhood sine tilfelle vanlege folk. Men den reelle effekten er at dei beskyttar dei profesjonelle investorane og let dei få ha monopolet sitt.

Kven blir beskytta?
Omsorg for den vanlege lønnsmottakaren eller lånekunden stod ikkje akkurat i høgsetet då finanskrisa tvinga verdsøkonomien i kne. Hjelpa var i første rekkje retta mot dei som hadde skapt krisa, ikkje til ofra, som til dømes innbyggjarane i Terra-kommunane. Innstrammingane etter finanskrisa har også verka på ein måte som sementerer dagens finansstruktur. Det er berre dei store selskapa som kan handtera jungeleg av reguleringskrav (kalla "compliance") - nybegynnarar har ikkje ein sjanse.

Det er difor grunn til å helsa nyvinningar som Robinhood og ICO-ar velkomne, trass i dei mange farane som lurer. Mange kjem til å tapa pengar, mellom anna dei som har kjøpt Hertz- eller Norwegian-aksjar. Dilemmaet blir til slutt: Skal me demokratisera tilgangen finansprodukt, må me også godta at mange gjer dumme val og mistar pengar. Me gjer jo det på andre område, som t.d. forbrukslån. Det er så langt ikkje noko forbod mot å gå i luksusfella og setja privatøkonomien over styr.

I valet mellom demokratisk tilgang og trua på at regulering kan ordna alt, vel eg demokratiet.

fredag 12. juni 2020

Ver din eigen bank

"Be your own bank" har vore eit slagord i Bitcoin- og kryptomiljøet. Det høyrest flott ut, du kan gi deg sjølv tittelen banksjef :) Men det mange gløymer, er at du også blir sikkerheitssjef i den nye banken din. "Sikker som banken" blir meir enn eit slagord, det blir ei kjempeutfordring for deg. Størrelsen på utfordringa er sjølvsagt avhengig av størrelsen på "innskotet" ditt. Men om du har betydelege midlar i din eigen bank, har du betydelege utfordringar. Den største utfordringa heiter single point of failure (SPoF). Det er i grunnen ironisk, gitt at blokkjedeteknologien er desentral og nettopp utvikla for å unngå eit sentralt angrepspunkt.

For mange vil sikringa av kryptoverdiar starta med at du flytter kryptovalutaen(e) frå ei vekslingsteneste og til di eiga lommebok. Då har du flytta ansvaret frå ei tredjepart-teneste, til deg sjølv, og har berre deg sjølv å skulda på. Du er både banksjef og sikkeheitsansvarleg.

Såfrø

Det første steget i sikringa av din eigen bank er å skriva ned dei såkalla såfrøa, seed phrase, som er ei liste med 12, 18 eller 24 ord. Desse orda er grunnlaget for alle private nøklar du (dvs. lommeboka di) kjem til å laga. Orda blir kalla a mnemonic seed phrase og er ei hugseliste, eller hugseregel, for å letta re-generering av private nøklar. Metoden er dokumentert i BIP 39 (Bitcoin Improvement Proposal) og har vorte ein standard i kryptoverda.

Eksempel på "seed" når du installerer ei krypto-lommebok
Orda er valde ut får ei liste på 2048 engelske ord, og det finst også ordlister på kinesisk, japansk, koreansk, fransk, spansk, italiensk og tsjekkisk. Dessverre ikkje på norsk så langt eg kjenner til, men det kan jo vera ei passe utfordring til utviklarar med interesse for sikkerheit og krypto.

Det viktige er at med desse orda kan du få tilgang til krypto-verdiane dine sjølv om du skulle vera så uheldig å mista kryptolommeboka gjennom å mista mobilen din, eller om ei anna kryptolommebok skulle forsvinna.

Du kan lesa meir om korleis BIP 39 og mnemonic seed phrase verkar her.

Eit steg til

Metoden over er grei nok til mindre verdiar i ei mobil-lommebok eller liknande. Viss du har så store verdiar at det blir ugreit, kanskje svært ugreit, om dei skulle forsvinna, er det ein regel som gjeld: Lommeboka må ikkje vera tilkopla Internett! Det er det som blir kalla ei kald lommebok, i motsetnad til ei varm lommebok som typisk vil vera ei lommebok på mobilen. På engelsk: hot and cold wallet. Alle aktørar som handterer større mengder kryptovaluta for andre, typisk vekslingstenester, har det meste av midlane i ei kald lommebok (kanskje 95 %) og berre litt tilgjengeleg i ei varm.

Ei kald lommebok kan vera så enkel som ei papirlommebok, dvs. dei nemnde orda du har skrive ned kombinert med at du slettar lommeboka du har på mobilen, eller meir praktisk ved at du skaffar deg ei hardware-lommebok. Eksempel på slike lommebøker er Ledger, Trezor, Coldcard og ei rekkje andre. Alle desse lommebøkene støttar BIP 39, og dermed blir sikker oppbevaring av dei viktige orda avgjerande.

Det er då neste problem melder seg: Korleis skal du sikra desse orda best muleg? Den første tanken din er kanskje å ta ein kopi av orda du har skrive ned, i tilfelle du mistar lappen eller kortet dei er skrivne ned på. Då har du på ein effektiv måte utvida talet på angrepsmulegheiter, så det er ein svært dårleg idé. Men du sit framleis med problemet single point of failure. Dersom nokon får tak i orda dine, er 101 ute, og verdiane borte.

Ein god idé er difor å klippa lappen/kortet i to (som t.d. i illustrasjonen over) og oppbevara dei to halvdelane på ulike, sikre stader. Då har du i alle fall redusert SPoF, sjølv om det kan bli litt meir utfordrande administrativt. Du har framleis også utfordringa med sjølve hardware-lommeboka, som rett nok ikkje er tilgjengeleg frå nettet, men som representerer ein fysisk sårbarheit. Denne er beskytta av ein pin-kode, men det er også alt.

Uavhengig av kva måte du oppbevarer orda på, kan du også bli utsett for phishing-angrep. Eksempelet under, henta frå bedrifta Casa sin blogg, forklarer det meste:

Skriv aldri inn orda på ei nettside!!
Som Jameson Lopp, sikkerheitssjef i Casa, formulerer det:
The only way I can imagine reliably protecting users from falling victim to these tricks is to not hand them the gun (seed phrase) with which they can shoot themselves in the foot. You can't be tricked into handing over a seed phrase if you don't have it in the first place!

Utan frø

Det finst også løysingar som ikkje er baserte på lagring av BIP 39-ord, eit såkalla seedless system.
Casa er eit firma som har spesialisert seg på sikring av kryptoverdiar. Dei utvikla også ein Bitcoin- og Lightning-klient, men har slutta å selja produktet og konsentrerer seg no fullt og heilt om programvare.

Dei har utvikla systemet Casa Keymaster som eit nøkkelsystem for kryptovaluta, i første rekkje for Bitcoin. Systemet byggjer på kjende prinsipp for god sikkerheit (beste praksis), kombinert med viktige kryptoverdiar som suverenitet (du sjølv som bestemmer) og insentiv-strukturar.

Multisignaturar er eit sentralt element i løysinga. Ein multisignatur betyr at det må meir enn ein individuell signatur til for å få ein godkjent signatur. Typiske multisignaturar er 2 av 3, eller 3 av 5. 2 av 3 betyr at to av i alt tre signaturar må vera på plass for å få ein gyldig signatur. Det er ein metode som ofte blir brukt i escrow-løysingar (norsk oversetjing??). Då kan seljar ha ein signatur, kjøpar ein annan og ein uavhengig tredjepart ein tredje. Vanlegvis blir kjøpar og seljar einige, og då er deira signaturar nok til å gjennomføra ein handel. Men i dei tilfella kjøpar og seljar ikkje blir einige, må tredjepart ta stilling til handelen og kan gi seljar eller kjøpar rett, og i kombinasjon med ein av dei sørgja for ein gyldig signatur.

Casa Keymaster kan du lesa meir om her.