Voivatko kryptolompakot olla sekä saavutettavia että hakkereilta suojattuja?

Viimeaikaiset hakkerit, konkurssit ja kadonneet siemenlauseet ovat synnyttäneet useita kryptolompakkosovelluksia kryptovaluuttoihin liittyvien yksityisten avainten turvalliseen tallentamiseen. Kun käyttäjät pyrkivät säilyttämään digitaalisen omaisuutensa täyden hallinnan ja omistajuuden, monet omaksuvat itsehuollon mantran – ottavat turvallisuuden omiin käsiinsä luvattomalla lompakon suojausinfrastruktuurilla. 

Mutta tämä tuo mukanaan uusia haasteita, mukaan lukien yksityisten avainten hallinnan monimutkaisuus ja katoamisen tai varkauden mahdollisuus, mikä on saanut monet käyttäjät epäröimään lähestymistapaa täysin. Valitettavasti nämä huolet eivät ole aiheettomia. Lisäksi saatavilla olevat erilaiset säilytysvaihtoehdot, kuten kuumat ja kylmät kryptovaluuttalompakot, sekä parannetut suojaustekniikat, kuten usean allekirjoituksen lompakot, voivat olla käyttäjille ylivoimaisia. Näitä haasteita pahentaa viime vuoden hälyttävä hyökkäysten ja hyväksikäyttöjen määrä, joka on vaarantanut käyttäjien digitaalisen omaisuuden turvallisuuden. 

Se, mikä on tullut tunnetuksi Ronin-hakkerointina, on erityisen merkittävää. Maaliskuussa 2022 Pohjois-Koreaan sidoksissa oleva Lazarus Group hakkeroi onnistuneesti Ronin Networkin, joka on suositun Web3-mobiilipelin Axie Infinityn avainalusta, ja varasti US $ 600 miljoonaa ETH:n ja USDC:n arvosta. Tämä hyväksikäyttö oli merkittävä – se oli yksi suurimmista koko maailmassa hajautettu rahoitus mutta jäi huomaamatta yli viikon ajan. Edellisen kuukauden aikana hakkeri varasti US $ 320 miljoonaa Solanan ja Ethereumin väliseltä Wormholen sillalta. Molemmissa tapauksissa hyökkääjät kykenivät vaarantamaan usean signaalin lompakon varastamalla tarpeeksi avaimia. 

Näiden hyväksikäyttöjen jälkeen MPC (Secure Multi-Party computing) on ​​nousemassa lupaavaksi tapaksi tasapainottaa saavutettavuus ja turvallisuus yksityisten avainten tallennuksessa. 

Mikä on MPC ja miten se eroaa muista kryptovarastointivaihtoehdoista? 

Yksinkertaisesti sanottuna MPC on salausprotokolla, joka mahdollistaa laskennan useiden osapuolten välillä, jolloin yksikään osapuoli ei näe muiden osapuolten tietoja. Yksityiset avaimet jaetaan sirpaleiksi ja jaetaan luotettujen osapuolten kesken, jolloin he voivat allekirjoittaa tapahtumia ilman, että kenelläkään on koko avain. Tämä tarkoittaa, että yksityinen avain ei ole koskaan saatavilla yhdessä laitteessa sen elinkaaren aikana, vaikka sitä käytettäisiin. Tämä lähestymistapa estää yksittäisen epäonnistumisen ja varmistaa, että vaikka jotkut osapuolet vaarantuvat, avain pysyy turvassa. Lisäksi MPC mahdollistaa avaimen sirpaleiden kiertämisen; jos hakkeri varastaa avaimen sirpaleen, se voidaan tehdä hyödyttömäksi yksinkertaisesti kiertämällä sirpaleita. 

Tämä tekee MPC:stä turvallisemman vaihtoehdon hot lompakoille, joissa yksityinen avain on tallennettu käyttäjän laitteelle ja se voi vaarantua, jos laite hakkeroidaan. Samoin kylmävarastolompakot voivat olla käyttäjille hankalampia, jolloin yksityinen avain säilytetään offline-tilassa ja laite on haettava joka kerta tapahtuman allekirjoittamista varten. Vastaavasti multi-sigissä jokaisella osapuolella on oma yksityinen avaimensa, ja ilmeisesti hakkeri voi saada hallintaansa, jos tarpeeksi avaimia varastetaan. 

Hakkerit etsivät jatkuvasti uusia tapoja manipuloida tietoturvalompakkoohjelmiston haavoittuvuuksia. Huolestuttavaa on se, että hakkerit voivat "seurata ja jäljittää" koorumin jäseniä usean merkin lompakosta, mikä antaa heille näkemyksen siitä, ketkä käyttäjät ovat allekirjoittaneet multi-sig-lompakkonsa (yleensä omilla hot-lompakoillaan). Lisäksi he voivat tunnistaa käyttäjän kyseessä olevan hot lompakon perusteella ja suorittaa tietojenkalasteluhyökkäyksen. Ja vaikka he eivät tunnista käyttäjää, he voivat silti tunnistaa lompakon ja löytää muita tapoja vaarantaa se. Nämä edistykset kehittyneissä tietoturvaloukkauksissa ovat edistäneet MPC-lompakkoturvallisuuden nousua ja kehitystä tällaisten hyökkäysten estämisessä. 

Toiminnallisesti joustava ja kimmoisa MPC mahdollistaa allekirjoitusjärjestelmän jatkuvan muokkaamisen ja ylläpidon, ja sitä voidaan käyttää lohkoketjun tietämättä. Ei tarvita useita allekirjoituksia ketjussa, mikä tarjoaa yksityisyyttä tapahtumien ja avainten hallinnan suhteen, ja mikä tärkeintä, rakenteellisen anonymiteetin säilyttäminen pitämällä päätösvaltaisuuden rakenne salassa. Vaikka MPC poistaa allekirjoitusvastuun, sen avulla organisaatio voi silti tunnistaa, mitkä osapuolet osallistuivat tapahtuman allekirjoittamiseen vaarantamatta sen turvallisuutta. 

Kuuma vs. kylmä kompromissin ratkaiseminen 

Hajautetussa järjestelmässä MPC tarjoaa sekä käytettävyyttä että turvallisuutta – mutta kaikkia MPC-lompakoita ei ole rakennettu samalla tavalla. Mekanismeista digitaalisen omaisuuden pitämiseen lukossa ei ole pulaa, ja uusia ratkaisuja, mukaan lukien uudet MPC-pohjaiset tarjoukset, tulee saataville joka päivä, varsinkin historiallisen historian jälkeen. FTX:n romahdus ja laajemmat teollisuuden seuraukset. Jotkut näistä säilytystarjouksista ovat vakiintuneempia kuin toisissa, ja niissä on vankempi ja perusteellisemmin testattu MPC-toteutus tietoturva-aukkojen estämiseksi. 

Alan toimijoiden ja käyttäjien on oltava varovaisia ​​harkitessaan äskettäin markkinoituja tallennustuotteita. Yksi tärkeä huomioitava tekijä on MPC-toteutuksen tekniset yksityiskohdat. Eri protokollien turvallisuus-, tehokkuus- ja helppokäyttöisyystasot voivat vaihdella, ja on tärkeää ymmärtää kompromisseja, jotka liittyvät niiden valintaan. Lisäksi parametrit on valittava ja konfiguroitava oikein tiettyyn käyttötapaukseen optimaalisen suojauksen varmistamiseksi. 

Luottamuksen takaisin saaminen tietoturvaloukkausten keskellä

Turvallinen avainten hallinta on ollut ongelma, joka on pysäyttänyt kryptovaluutta- ja lohkoketjuteknologian laajan käyttöönoton. Uutiset siitä, että DeFi lainausalusta Oasis manipuloi usean allekirjoituksen lompakkoohjelmistoaan saadakseen takaisin Wormhole-hakkeroinnin yhteydessä varastetun omaisuuden, on paljastanut halkeaman monen sig:n haarniskassa. Nämä epäonnistumiset ja skandaalit kaikkialla alalla ovat saaneet aikaan keskustelua kryptovarastosta ja siitä, mikä lompakon tallennusvaihtoehto tarjoaa parhaan yhdistelmän käytettävyyttä ja turvallisuutta hajautetussa järjestelmässä. 

Luottamuksen palauttamiseksi alaan on tarpeen ottaa käyttöön vankat turvatoimet ja lisätä ketjun läpinäkyvyyttä digitaalisten varojen turvaamiseksi ja petollisten toimintojen estämiseksi. Näiden skandaalien aiheuttamissa tappioissa ei ole esiintynyt syrjintää – vaikutukset ovat levinneet suuriin ja pieniin rahoituslaitoksiin ja aloittavista yrityksistä yksityissijoittajiin. Samalla kun salaus kehittyy, turvallinen monen osapuolen laskenta voi nousta esiin keinona tarjota kaikille yleinen pääsy instituution arvosanan säilytykseen.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
• Lähde: https://forkast.news/can-crypto-wallets-be-both-accessible-and-hack-proof/