Les portefeuilles cryptographiques peuvent-ils être à la fois accessibles et à l'épreuve des pirates ?

La récente série de piratages, de faillites et de phrases de départ perdues a donné naissance à une gamme d'applications de portefeuille cryptographique pour stocker en toute sécurité les clés privées associées aux crypto-monnaies. Alors que les utilisateurs cherchent à conserver le contrôle total et la propriété de leurs actifs numériques, beaucoup adoptent le mantra de l'auto-garde - prenant la sécurité en main avec une infrastructure de sécurité de portefeuille sans autorisation. 

Mais cela s'accompagne d'un nouvel ensemble de défis, notamment la complexité de la gestion des clés privées et le potentiel de perte ou de vol qui a fait hésiter de nombreux utilisateurs à adopter pleinement l'approche. Malheureusement, ces inquiétudes ne sont pas sans fondement. De plus, les différentes options de stockage disponibles, telles que portefeuilles de crypto-monnaie chauds et froids, ainsi que des techniques de sécurité améliorées telles que celles fournies par les portefeuilles multi-signatures, peuvent être accablantes pour les utilisateurs. À ces défis s'ajoute la vague alarmante d'attaques et d'exploits au cours de l'année écoulée, qui ont compromis la sécurité des actifs numériques des utilisateurs. 

Ce qui est devenu connu sous le nom de piratage Ronin est particulièrement remarquable. En mars 2022, le groupe Lazarus lié à la Corée du Nord a piraté avec succès le réseau Ronin, une plate-forme clé alimentant le populaire jeu mobile Web3 Axie Infinity, volant plus de US 600 millions de dollars valeur de l'ETH et de l'USDC. Cet exploit était important - c'était l'un des plus importants à travers le monde. finance décentralisée secteur mais n'a pas été détecté pendant plus d'une semaine. Au cours du mois précédent, un pirate informatique a volé US 320 millions de dollars du pont Wormhole entre Solana et Ethereum. Dans les deux cas, les attaquants ont pu compromettre le portefeuille multi-signatures en volant suffisamment de clés. 

À la suite de ces exploits, le calcul multipartite sécurisé (MPC) apparaît comme un moyen prometteur d'équilibrer l'accessibilité et la sécurité dans le stockage des clés privées. 

Qu'est-ce que MPC et comment se compare-t-il aux autres options de stockage crypto ? 

En termes simples, MPC est un protocole cryptographique qui permet le calcul entre plusieurs parties, où aucune partie individuelle ne peut voir les données des autres parties. Les clés privées sont divisées en fragments et réparties entre les parties de confiance, ce qui leur permet de signer des transactions sans que personne n'ait la clé entière. Cela signifie que la clé privée n'est jamais disponible sur un seul appareil pendant son cycle de vie, même lorsqu'elle est utilisée. Cette approche évite un point de défaillance unique et garantit que même si certaines parties sont compromises, la clé reste sécurisée. De plus, MPC permet la rotation des fragments de clé ; si un pirate vole un fragment de clé, il peut être rendu inutile en faisant simplement pivoter les fragments. 

Cela fait de MPC une alternative plus sécurisée aux portefeuilles chauds, où la clé privée est stockée sur l'appareil d'un utilisateur et peut être compromise si l'appareil est piraté. De même, les portefeuilles de stockage à froid peuvent être plus encombrants pour les utilisateurs, où la clé privée est stockée hors ligne et l'appareil doit être récupéré à chaque fois pour la signature des transactions. De même, avec le multi-sig, chaque partie détient sa propre clé privée et, évidemment, un pirate peut prendre le contrôle si suffisamment de clés sont volées. 

Les pirates recherchent en permanence de nouvelles façons de manipuler les vulnérabilités des logiciels de portefeuille de sécurité. Ce qui est préoccupant, c'est que les pirates peuvent "suivre et tracer" les membres du quorum à partir du portefeuille multi-sig, leur donnant une visibilité sur les utilisateurs qui signent pour le multi-sig (généralement en utilisant leurs propres portefeuilles chauds). De plus, ils peuvent identifier l'utilisateur en fonction du hot wallet impliqué et effectuer une attaque de phishing. Et même s'ils ne peuvent pas identifier l'utilisateur, ils peuvent toujours identifier le portefeuille et trouver d'autres moyens de le compromettre. Ces avancées dans les failles de sécurité sophistiquées ont propulsé la montée et le développement de la sécurité des portefeuilles MPC pour prévenir de telles attaques. 

Flexible et résilient sur le plan opérationnel, MPC permet la modification et la maintenance continues du schéma de signature et peut être utilisé à l'insu de la blockchain. Il n'y a pas besoin de signatures multiples sur la chaîne, offrant la confidentialité en ce qui concerne les transactions et la gestion des clés, et surtout, le maintien de l'anonymat structurel en gardant secrète la structure du quorum. Cependant, bien que MPC supprime la responsabilité de la signature, il permet toujours à l'organisation d'identifier les parties qui ont participé à la signature d'une transaction sans compromettre sa sécurité. 

Résoudre le compromis entre chaud et froid 

Dans un système décentralisé, MPC offre à la fois convivialité et sécurité, mais tous les portefeuilles MPC ne sont pas construits de la même manière. Il ne manque pas de mécanismes pour garder les actifs numériques sous clé, et de plus en plus de solutions, y compris de nouvelles offres basées sur MPC, sont mises à disposition chaque jour, en particulier après l'historique implosion de FTX et les ramifications plus larges de l'industrie. Certaines de ces offres de garde sont plus établies que d'autres avec des implémentations MPC plus robustes et testées de manière approfondie pour inhiber les vulnérabilités de sécurité. 

Les acteurs de l'industrie et les utilisateurs doivent faire preuve de prudence lorsqu'ils envisagent des produits de stockage nouvellement commercialisés. Un facteur clé à prendre en compte est les détails techniques de la mise en œuvre du MPC. Différents protocoles peuvent avoir différents niveaux de sécurité, d'efficacité et de facilité d'utilisation, et il est important de comprendre les compromis impliqués dans le choix de l'un par rapport à l'autre. De plus, les paramètres doivent être correctement sélectionnés et configurés pour le cas d'utilisation spécifique afin d'assurer une sécurité optimale. 

Retrouver la confiance face aux failles de sécurité

La gestion sécurisée des clés a été un problème qui a bloqué l'adoption généralisée de la crypto-monnaie et de la technologie blockchain. La nouvelle selon laquelle la plate-forme de prêt DeFi Oasis a manipulé son logiciel de portefeuille multi-signatures pour récupérer les actifs volés dans le piratage de Wormhole a révélé une faille dans l'armure du multi-sig. Ces échecs et scandales à travers l'industrie ont alimenté le débat sur la garde cryptographique et sur l'option de stockage de portefeuille offrant le meilleur mélange de convivialité et de sécurité dans un système décentralisé. 

Pour regagner la confiance dans l'industrie, il est nécessaire de mettre en œuvre des mesures de sécurité robustes et d'apporter plus de transparence sur la chaîne pour protéger les actifs numériques et prévenir les activités frauduleuses. Il n'y a eu aucune discrimination dans les pertes ressenties par ces scandales - les effets se sont répercutés sur les institutions financières, grandes et petites, et des start-ups aux investisseurs de détail. À mesure que la cryptographie progresse, le calcul multipartite sécurisé peut émerger comme un moyen d'offrir à tous un accès universel à la garde de qualité institutionnelle.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
• La source: https://forkast.news/can-crypto-wallets-be-both-accessible-and-hack-proof/