I portafogli crittografici possono essere sia accessibili che a prova di hacker?

La recente ondata di hack, fallimenti e frasi di semi perduti ha dato vita a una serie di applicazioni di portafoglio crittografico per archiviare in modo sicuro le chiavi private associate alle criptovalute. Mentre gli utenti cercano di mantenere il pieno controllo e la proprietà delle proprie risorse digitali, molti stanno abbracciando il mantra dell'autocustodia, prendendo in mano la sicurezza con un'infrastruttura di sicurezza del portafoglio senza autorizzazione. 

Ma questo comporta una nuova serie di sfide, tra cui la complessità della gestione delle chiavi private e il potenziale di perdita o furto che ha reso molti utenti riluttanti ad abbracciare pienamente l'approccio. Sfortunatamente, queste preoccupazioni non sono infondate. Inoltre, le diverse opzioni di archiviazione disponibili, come ad esempio portafogli di criptovaluta caldi e freddi, così come le tecniche di sicurezza avanzate come quelle fornite dai portafogli multi-firma, possono essere travolgenti per gli utenti. Ad aggravare queste sfide c'è l'allarmante ondata di attacchi ed exploit nell'ultimo anno, che hanno compromesso la sicurezza delle risorse digitali degli utenti. 

Quello che è diventato noto come l'hacking di Ronin è particolarmente degno di nota. Nel marzo 2022, il gruppo Lazarus, collegato alla Corea del Nord, ha violato con successo la rete Ronin, una piattaforma chiave che alimenta il popolare gioco mobile Web3 Axie Infinity, rubando US $ 600 milioni valore di ETH e USDC. Questo exploit è stato significativo: è stato uno dei più grandi in tutto il mondo finanza decentralizzata settore ma non è stato rilevato per oltre una settimana. Nel mese precedente, un hacker ha rubato US $ 320 milioni dal ponte Wormhole tra Solana ed Ethereum. In entrambi i casi, gli aggressori sono riusciti a compromettere il portafoglio multi-sig rubando un numero sufficiente di chiavi. 

Sulla scia di questi exploit, l'MPC (Secure Multi-Party Computation) sta emergendo come un modo promettente per bilanciare accessibilità e sicurezza nell'archiviazione delle chiavi private. 

Che cos'è MPC e come si confronta con altre opzioni di archiviazione crittografica? 

In termini semplici, MPC è un protocollo crittografico che consente il calcolo tra più parti, in cui nessuna singola parte può vedere i dati delle altre parti. Le chiavi private vengono suddivise in frammenti e distribuite tra parti fidate, consentendo loro di firmare transazioni senza che nessuno abbia l'intera chiave. Ciò significa che la chiave privata non è mai disponibile su un singolo dispositivo durante il suo ciclo di vita, anche quando viene utilizzata. Questo approccio previene un singolo punto di errore e garantisce che, anche se alcune parti vengono compromesse, la chiave rimanga sicura. Inoltre, MPC consente la rotazione del frammento di chiave; se un hacker ruba un frammento di chiave, può essere reso inutilizzabile semplicemente ruotando i frammenti. 

Ciò rende MPC un'alternativa più sicura agli hot wallet, in cui la chiave privata è archiviata sul dispositivo di un utente e può essere compromessa se il dispositivo viene violato. Allo stesso modo, i portafogli cold storage possono essere più ingombranti per gli utenti, in cui la chiave privata viene archiviata offline e il dispositivo deve essere recuperato ogni volta per la firma della transazione. Allo stesso modo, con multi-sig, ciascuna parte detiene la propria chiave privata e, evidentemente, un hacker può ottenere il controllo se viene rubata una quantità sufficiente di chiavi. 

Gli hacker sono alla continua ricerca di nuovi modi per manipolare le vulnerabilità nel software del portafoglio di sicurezza. Ciò che preoccupa è che gli hacker possono "tracciare e rintracciare" i membri del quorum dal portafoglio multi-sig, dando loro la visibilità di quali utenti stanno firmando per il multi-sig (di solito utilizzando i propri portafogli caldi). Inoltre, possono identificare l'utente in base all'hot wallet coinvolto ed eseguire un attacco di phishing. E anche se non riescono a identificare l'utente, possono comunque identificare il portafoglio e trovare altri modi per comprometterlo. Questi progressi nelle sofisticate violazioni della sicurezza hanno spinto l'ascesa e lo sviluppo della sicurezza del portafoglio MPC nella prevenzione di tali attacchi. 

Operativamente flessibile e resiliente, MPC consente la modifica e la manutenzione continue dello schema di firma e può essere utilizzato all'insaputa della blockchain. Non sono necessarie firme multiple sulla catena, offrendo privacy quando si tratta di transazioni e gestione delle chiavi e, soprattutto, mantenendo l'anonimato strutturale mantenendo segreta la struttura del quorum. Tuttavia, mentre MPC rimuove la responsabilità della firma, consente comunque all'organizzazione di identificare quali parti hanno partecipato alla firma di una transazione senza comprometterne la sicurezza. 

Risolvere il compromesso tra caldo e freddo 

In un sistema decentralizzato, MPC offre sia usabilità che sicurezza, ma non tutti i portafogli MPC sono costruiti allo stesso modo. Non mancano i meccanismi per tenere sotto chiave le risorse digitali e ogni giorno vengono rese disponibili sempre più soluzioni, incluse nuove offerte basate su MPC, soprattutto dopo lo storico implosione di FTX e più ampie ramificazioni del settore. Alcune di queste offerte di custodia sono più consolidate di altre con implementazioni MPC più robuste e accuratamente testate per inibire le vulnerabilità della sicurezza. 

Gli operatori e gli utenti del settore devono prestare attenzione quando si considerano i prodotti di archiviazione di nuova commercializzazione. Un fattore chiave da considerare sono i dettagli tecnici dell'implementazione MPC. Diversi protocolli possono avere diversi livelli di sicurezza, efficienza e facilità d'uso, ed è importante comprendere i compromessi coinvolti nella scelta di uno rispetto all'altro. Inoltre, i parametri devono essere selezionati e configurati correttamente per il caso d'uso specifico per garantire una sicurezza ottimale. 

Riconquistare la fiducia in mezzo a violazioni della sicurezza

La gestione sicura delle chiavi è stato un problema che ha bloccato l'adozione diffusa della criptovaluta e della tecnologia blockchain. La notizia che la piattaforma di prestito DeFi Oasis ha manipolato il suo software di portafoglio multi-firma per recuperare le risorse rubate nell'hack di Wormhole ha messo in luce una falla nell'armatura del multi-sig. Questi fallimenti e scandali in tutto il settore hanno guidato il dibattito sulla custodia delle criptovalute e su quale opzione di archiviazione del portafoglio offre il miglior mix di usabilità e sicurezza in un sistema decentralizzato. 

Per riconquistare la fiducia nel settore, è necessario implementare solide misure di sicurezza e portare maggiore trasparenza sulla catena per salvaguardare le risorse digitali e prevenire attività fraudolente. Non vi è stata alcuna discriminazione nelle perdite subite da questi scandali: gli effetti si sono propagati a istituzioni finanziarie grandi e piccole, dalle start-up agli investitori al dettaglio. Con l'avanzare della crittografia, il calcolo multipartitico sicuro potrebbe emergere come un modo per portare l'accesso universale alla custodia di livello istituzionale per tutti.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
• Fonte: https://forkast.news/can-crypto-wallets-be-both-accessible-and-hack-proof/