即使在 2021 年,数字资产安全仍然是一个全行业的问题

加密货币社区非常习惯于黑客攻击和安全事件。 然而,这并不意味着这些事件不值得关注。

2021 年 20.32 月对安全来说是一个特别糟糕的月份。 发生了两起备受瞩目的安全事件。 两者都是完全不同的问题,但都是从区块链黑客攻击的总估计数量的贡献者。 这一估计目前为 XNUMX 亿美元。 

到目前为止,两者中最大的是 Africrypt 丑闻。 这导致估计损失 3.6 亿美元。 这起具有出口骗局所有特征的事件始于 XNUMX 月。

这是 Africrypt 交易所报告黑客攻击的时候。 然而,经营交易所的两兄弟 Ameer 和 Raees Cajee 在几周前出售了大量奢侈品后消失了。 

特别是,本地交易平台似乎很适合这种类型的剥削。 2 月,土耳其加密货币交易所 Thodex 的首席执行官与超过 XNUMX 亿美元的客户资金一起消失。

更不用说臭名昭著的加拿大交易所 Quadriga CX 的案例了。 2019 年初,创始人 Gerald Cotten 去世,带走了 145 亿美元的客户资金。 直到今天,这个故事仍在调查中。 

打开 Fireblocks 事件的包装

与 Africrypt 一起,XNUMX 月份发生了另一起不那么可耻的事件。 尽管如此,它还是说明了一些值得注意的关于私钥安全的重要教训。 特别是对于机构和那些依赖其数字资产托管服务的机构。 

75 月底有消息称,参与 Staking 的加密公司 StakeHound 已对托管服务提供商 Fireblocks 提起诉讼。 该诉讼称,Fireblocks 损失了价值约 XNUMX 万美元的以太坊,这是它的责任。 然而,深入挖掘,在表面之下还有很多事情要做。 

Fireblocks 告诉福布斯,它与 StakeHound 签订了两项服务合同。 第一个是其标准的加密货币托管产品。 另一种是一次性安排,Fireblocks 支持 StakeHound 编写程序以生成签名以验证 staking 协议的真实性。

StakeHound 使用该程序生成了一个密钥,然后使用该密钥将 38,178 ETH 发送到以太坊 2.0 质押合约。 

这就是事情似乎已经破裂的地方。 Fireblocks 表示,出于安全目的,StakeHound 希望它保管一半的私钥,它口头同意了这一点。

StakeHound 将其共享的密钥发送给 Coincover 作为备份,但 Fireblocks 没有。 由于这种安排是一次性的,并且签名不是 Fireblocks 常规备份程序的一部分。 当公司的一个系统出现故障时,它丢失了密钥。 此外,没有备份。

现在,StakeHound 无法访问锁定在 Staking 合约中的 38,178 ETH 中的任何一个。 此外,这些资金可能会永远丢失。

HSM 与 MPC

没有办法知道谁说了什么或诉讼将走向何方。 作为记录,还值得强调的是 Fireblocks 已表示其客户没有理由担心,因为此事件超出了其正常程序。

该公司还表示,StakeHound 仍在使用 Fireblocks 进行日常加密托管服务。 然而,值得研究这一事件。 它强调了依赖多方计算或多签名钱包来确保安全的一个基本安全缺陷。 

在数字资产安全发展的这一点上,多重签名钱包提供的安全性相当薄弱。 毕竟,无法知道谁可以访问私钥,这意味着它们本质上并不比单签名钱包更安全。 

目前,托管人使用两种主要的安全形式来保护私钥,从而保护数字资产。 它们是硬件安全模块或 HSM,以及多方计算或 MPC。

HSM 是符合多项全球公认标准的物理硬件设备,用于验证私钥的安全创建和存储。 HSM 用于公共和私营部门。 这包括军事和银行用例。 

正如 StakeHound 和 Fireblocks 同意的那样,MPC 涉及将私钥拆分为多个部分,并将每个部分分别存储在不同的设备或云存储服务器上。 这个想法是,如果黑客破坏了一个,攻击者将无法访问足够的信息来组装整个私钥。 

久经考验的备份解决方案

两者之间的关键区别在于 HSM 具有集成的密钥备份机制,可确保用户永远不会失去对其资金的访问权限。

通常,HSM 用户配备了安全存储在多个位置的物理备份卡。 用户可以部署备份卡来恢复每次请求新密钥时生成的备份密钥。 

MPC 解决方案没有用于生成备份密钥的内置机制。 此外,为 MPC 密钥生成备份本身就非常复杂。 这是因为该过程涉及多方。 因此,人们担心任何备份解决方案的可用性。 

到目前为止,在加密货币安全的发展过程中,HSM 已被证明是组织安全备份其私钥的唯一方式。 它确保在发生损失时,他们仍然可以访问他们的加密货币。

从这个意义上说,它们仍然是抵御攻击的最强大的安全形式。 同时,MPC 仍然是密码学的一个令人兴奋的新分支。 它为网络安全领域带来了巨大的希望。 它还通过经过测试和验证的方法为用户提供更多的安慰,以保护他们的资金免受攻击者的侵害。 

免责声明


我们网站上包含的所有信息都是真诚发布的,仅供一般参考。 读者对我们网站上的信息采取的任何措施均完全自担风险。

资料来源:https://beincrypto.com/even-in-2021-digital-asset-security-remains-an-industry-wide-problem/


YouTube视频