Могут ли криптокошельки быть доступными и защищенными от хакеров?

Недавняя волна взломов, банкротств и утерянных начальных фраз привела к появлению целого ряда приложений криптокошельков для безопасного хранения закрытых ключей, связанных с криптографией. Поскольку пользователи стремятся сохранить полный контроль и право собственности на свои цифровые активы, многие принимают мантру самообороны, взяв безопасность в свои руки с помощью инфраструктуры безопасности кошелька без разрешений.

Но это связано с новым набором проблем, включая сложность управления закрытыми ключами и возможность потери или кражи, из-за чего многие пользователи не решаются полностью принять этот подход. К сожалению, эти опасения не беспочвенны. Кроме того, доступны различные варианты хранения, такие как горячие и холодные криптовалютные кошелькиа также улучшенные методы безопасности, такие как кошельки с мультиподписью, могут быть непосильными для пользователей. Эти опасения усугубляются тревожным всплеском атак и эксплойтов за последний год, которые поставили под угрозу безопасность цифровых активов пользователей.

Особенно примечательно то, что стало известно как взлом Ronin. В марте 2022 года группа Lazarus, связанная с Северной Кореей, успешно взломала сеть Ronin Network, ключевую платформу для популярной мобильной игры Web3 Axie Infinity, похитив более 600 миллионов Доллары США. Этот эксплойт был значительным — он был одним из крупнейших в отрасли. децентрализованные финансыно оставался незамеченным больше недели. В прошлом месяце хакер украл 320 миллионов долларов от моста Червоточины между Соланой и Эфириумом. В обоих случаях злоумышленникам удалось скомпрометировать мультисигнальный кошелек, похитив достаточное количество ключей.

После этих эксплойтов безопасные многосторонние вычисления (MPC) становятся многообещающим способом сбалансировать доступность и безопасность при хранении закрытых ключей.

Хакеры постоянно ищут новые способы манипулирования уязвимостями в программном обеспечении кошелька безопасности. Беспокоит то, что хакеры могут «отследить» членов кворума из кошелька с мультиподписью, давая им представление о том, какие пользователи подписываются на мультиподпись (обычно используя свои собственные горячие кошельки). Кроме того, они могут идентифицировать пользователя на основе используемого горячего кошелька и провести фишинговую атаку. И даже если они не могут идентифицировать пользователя, они все равно могут идентифицировать кошелек и найти другие способы его компрометации. Эти достижения в области сложных нарушений безопасности ускорили рост и развитие системы безопасности кошелька MPC для предотвращения таких атак.

Оперативно гибкая и отказоустойчивая, MPC позволяет постоянно изменять и поддерживать схему подписи и может использоваться без знания блокчейна. Нет необходимости в нескольких подписях в цепочке, что обеспечивает конфиденциальность, когда речь идет о транзакциях и управлении ключами, и, что наиболее важно, поддерживает структурную анонимность, сохраняя в секрете структуру кворума. Однако, хотя MPC снимает с себя ответственность за подписание, он по-прежнему позволяет организации определить, какие стороны участвовали в подписании транзакции, не ставя под угрозу ее безопасность.

Решение проблемы компромисса между горячим и холодным

В децентрализованной системе MPC обеспечивает удобство использования и безопасность, но не все кошельки MPC построены одинаково. Нет недостатка в механизмах для хранения цифровых активов под замком, и каждый день появляется все больше решений, включая новые предложения на основе MPC, особенно после исторического кризиса. Коллапс FTX и более широкие последствия для отрасли. Некоторые из этих кастодиальных предложений более устоявшиеся, чем другие, с более надежными и тщательно протестированными реализациями MPC для предотвращения уязвимостей безопасности.

Участники отрасли и пользователи должны проявлять осторожность при рассмотрении новых продуктов для хранения данных. Одним из ключевых факторов, который следует учитывать, являются технические детали реализации MPC. Разные протоколы могут иметь разный уровень безопасности, эффективности и простоты использования, и важно понимать компромиссы, связанные с выбором одного из них. Кроме того, параметры должны быть правильно выбраны и настроены для конкретного варианта использования, чтобы обеспечить оптимальную безопасность.

Восстановление доверия перед лицом нарушений безопасности

Безопасное управление ключами было проблемой, которая остановила широкое внедрение технологии криптовалюты и блокчейна. Новость о том, что кредитная платформа DeFi Oasis манипулировала своим программным обеспечением кошелька с мультиподписью для восстановления активов, украденных в результате взлома червоточины, выявила брешь в броне с несколькими подписями. Эти неудачи и скандалы в отрасли вызвали споры о хранении криптовалют и о том, какой вариант хранения кошелька обеспечивает наилучшее сочетание удобства использования и безопасности в децентрализованной системе.

Чтобы восстановить доверие к отрасли, необходимо принять строгие меры безопасности и повысить прозрачность сети для защиты цифровых активов и предотвращения мошеннических действий. В убытках, понесенных в результате этих скандалов, не было дискриминации — последствия коснулись всех финансовых институтов, больших и малых, от стартапов до розничных инвесторов. По мере развития криптографии безопасные многосторонние вычисления могут стать способом обеспечения универсального доступа к хранилищу институционального уровня для всех.

Что такое MPC и чем он отличается от других вариантов криптохранилищ?

Проще говоря, MPC — это криптографический протокол, позволяющий выполнять многосторонние вычисления, при которых ни одна сторона не может видеть данные других сторон. Закрытые ключи сегментируются и распространяются доверенным сторонам, что позволяет им подписывать транзакции, не имея ни у кого полного ключа. Это означает, что закрытый ключ никогда не будет доступен ни на одном устройстве в течение его жизненного цикла, даже когда он используется. Такой подход предотвращает единую точку отказа и гарантирует, что даже если некоторые стороны будут скомпрометированы, ключ останется в безопасности. Кроме того, MPC допускает ротацию ключевых фрагментов; если хакер украдет фрагмент ключа, он может стать бесполезным, просто повернув фрагменты.

Это делает MPC более безопасной альтернативой горячим кошелькам, где закрытый ключ хранится на устройстве пользователя и может быть скомпрометирован, если устройство скомпрометировано. Точно так же кошельки с холодным хранением могут быть более громоздкими для пользователей, где закрытый ключ хранится в автономном режиме, а устройство необходимо извлекать каждый раз, когда подписывается транзакция. Точно так же с мультиподписью каждая сторона хранит свой собственный закрытый ключ, и, очевидно, хакер может получить контроль, если будет украдено достаточное количество ключей.