即使在 2021 年,數字資產安全仍然是一個全行業的問題

加密貨幣社區非常習慣於黑客攻擊和安全事件。 然而,這並不意味著這些事件不值得關注。

2021 年 20.32 月對安全來說是一個特別糟糕的月份。 發生了兩起備受矚目的安全事件。 兩者都是完全不同的問題,但都是從區塊鏈黑客攻擊的總估計數量的貢獻者。 這一估計目前為 XNUMX 億美元。 

到目前為止,兩者中最大的是 Africrypt 醜聞。 這導致估計損失 3.6 億美元。 這起具有出口騙局所有特徵的事件始於 XNUMX 月。

這是 Africrypt 交易所報告黑客攻擊的時候。 然而,經營交易所的兩兄弟 Ameer 和 Raees Cajee 在幾週前出售了大量奢侈品後消失了。 

特別是,本地交易平台似乎很適合這種類型的剝削。 2 月,土耳其加密貨幣交易所 Thodex 的首席執行官與超過 XNUMX 億美元的客戶資金一起消失。

更不用說臭名昭著的加拿大交易所 Quadriga CX 的案例了。 2019 年初,創始人 Gerald Cotten 去世,帶走了 145 億美元的客戶資金。 直到今天,這個故事仍在調查中。 

打開 Fireblocks 事件的包裝

與 Africrypt 一起,XNUMX 月份發生了另一起不那麼可恥的事件。 儘管如此,它還是說明了一些值得注意的關於私鑰安全的重要教訓。 特別是對於機構和那些依賴其數字資產託管服務的機構。 

75 月底有消息稱,參與 Staking 的加密公司 StakeHound 已對託管服務提供商 Fireblocks 提起訴訟。 訴訟稱,Fireblocks 損失了價值約 XNUMX 萬美元的以太坊,這是它的責任。 然而,深入挖掘,在表面之下還有更多的事情發生。 

Fireblocks 告訴福布斯,它與 StakeHound 簽訂了兩項服務合同。 第一個是其標準的加密貨幣託管產品。 另一種是一次性安排,Fireblocks 支持 StakeHound 編寫程序以生成簽名以驗證 staking 協議的真實性。

StakeHound 使用該程序生成了一個密鑰,然後使用該密鑰將 38,178 ETH 發送到以太坊 2.0 質押合約。 

這就是事情似乎已經破裂的地方。 Fireblocks 表示,出於安全目的,StakeHound 希望它保管一半的私鑰,它口頭同意了這一點。

StakeHound 將其份額的密鑰發送給 Coincover 作為備份,但 Fireblocks 沒有。 由於這種安排是一次性的,並且簽名不是 Fireblocks 常規備份程序的一部分。 當公司的一個系統出現故障時,它丟失了密鑰。 此外,沒有備份。

現在,StakeHound 無法訪問鎖定在 Staking 合約中的 38,178 ETH 中的任何一個。 此外,這些資金可能會永遠丟失。

HSM 與 MPC

沒有辦法知道誰說了什麼或訴訟將走向何方。 作為記錄,還值得強調的是 Fireblocks 已表示其客戶沒有理由擔心,因為此事件超出了其正常程序。

該公司還表示,StakeHound 仍在使用 Fireblocks 進行日常加密託管服務。 然而,值得研究這一事件。 它強調了依賴多方計算或多簽名錢包來確保安全的一個基本安全缺陷。 

在數字資產安全發展的這一點上,多重簽名錢包提供的安全性相當薄弱。 畢竟,無法知道誰可以訪問私鑰,這意味著它們本質上並不比單簽名錢包更安全。 

目前,託管人使用兩種主要的安全形式來保護私鑰,從而保護數字資產。 它們是硬件安全模塊或 HSM,以及多方計算或 MPC。

HSM 是符合多項全球公認標準的物理硬件設備,用於驗證私鑰的安全創建和存儲。 HSM 用於公共和私營部門。 這包括軍事和銀行用例。 

正如 StakeHound 和 Fireblocks 同意的那樣,MPC 涉及將私鑰拆分為多個部分,並將每個部分分別存儲在不同的設備或云存儲服務器上。 這個想法是,如果黑客破壞了一個,攻擊者將無法訪問足夠的信息來組裝整個私鑰。 

久經考驗的備份解決方案

兩者之間的關鍵區別在於 HSM 具有集成的密鑰備份機制,可確保用戶永遠不會失去對其資金的訪問權限。

通常,HSM 用戶配備了安全存儲在多個位置的物理備份卡。 用戶可以部署備份卡來恢復每次請求新密鑰時生成的備份密鑰。 

MPC 解決方案沒有用於生成備份密鑰的內置機制。 此外,為 MPC 密鑰生成備份本身就非常複雜。 這是因為該過程涉及多方。 因此,人們擔心任何備份解決方案的可用性。 

到目前為止,在加密貨幣安全的發展過程中,HSM 已被證明是組織安全備份其私鑰的唯一方式。 它確保在發生損失時,他們仍然可以訪問他們的加密貨幣。

從這個意義上說,它們仍然是抵禦攻擊的最強大的安全形式。 同時,MPC 仍然是密碼學的一個令人興奮的新分支。 它為網絡安全領域帶來了巨大的希望。 它還通過經過測試和驗證的方法為用戶提供更多的安慰,以保護他們的資金免受攻擊者的侵害。 

免責聲明


我們網站上包含的所有信息均出於善意發布,僅供一般參考。 讀者對我們網站上的信息採取的任何措施均完全自擔風險。

資料來源:https://beincrypto.com/even-in-2021-digital-asset-security-remains-an-industry-wide-problem/


YouTube視頻