Чи можуть криптогаманці бути одночасно доступними та захищеними від хакерів?

Нещодавня хвиля хакерів, банкрутств і втрачених початкових фраз призвела до появи цілого ряду додатків для крипто-гаманців для безпечного зберігання приватних ключів, пов’язаних із криптовалютами. Оскільки користувачі прагнуть зберегти повний контроль і володіння своїми цифровими активами, багато хто приймає мантру самоохорони — бере безпеку у свої власні руки за допомогою інфраструктури безпеки гаманця без дозволу. 

Але це пов’язано з новими труднощами, включаючи складність керування приватними ключами та потенційну втрату або крадіжку, що змушує багатьох користувачів вагатися щодо повного застосування цього підходу. На жаль, ці побоювання не безпідставні. Крім того, доступні різні варіанти зберігання, наприклад гарячі та холодні криптовалютні гаманці, а також розширені методи безпеки, такі як ті, що забезпечуються гаманцями з кількома підписами, можуть бути непосильними для користувачів. Ці виклики ускладнюються тривожним сплеском атак і експлойтів за минулий рік, які поставили під загрозу безпеку цифрових активів користувачів. 

Те, що стало відомим як хак Роніна, особливо примітно. У березні 2022 року група Lazarus Group, пов’язана з Північною Кореєю, успішно зламала Ronin Network, ключову платформу, що забезпечує популярну мобільну гру Web3 Axie Infinity, викравши США 600 млн $ на суму ETH і USDC. Цей подвиг був значним — він був одним із найбільших у світі децентралізовані фінанси сектора, але залишався непоміченим більше тижня. Минулого місяця хакер вкрав США 320 млн $ від мосту «Червоточина» між Solana та Ethereum. В обох випадках зловмисники змогли скомпрометувати гаманець із підтримкою декількох підписів, викравши достатню кількість ключів. 

На хвилі цих експлойтів безпечне багатостороннє обчислення (MPC) з’являється як багатообіцяючий спосіб збалансувати доступність і безпеку в зберіганні приватних ключів. 

Що таке MPC і як воно відрізняється від інших варіантів зберігання крипто? 

Говорячи простою мовою, MPC — це криптографічний протокол, який забезпечує обчислення між кількома сторонами, де жодна окрема сторона не може бачити дані інших сторін. Приватні ключі розбиваються на сегменти та розподіляються між довіреними сторонами, що дозволяє їм підписувати транзакції, не маючи нікого повного ключа. Це означає, що закритий ключ ніколи не буде доступним на одному пристрої протягом його життєвого циклу, навіть якщо він використовується. Цей підхід запобігає єдиній точці відмови та гарантує, що навіть якщо деякі сторони скомпрометовані, ключ залишається в безпеці. Крім того, MPC дозволяє обертати фрагменти ключів; якщо хакер вкраде фрагмент ключа, його можна зробити марним, просто повернувши шарди. 

Це робить MPC більш безпечною альтернативою гарячим гаманцям, де закритий ключ зберігається на пристрої користувача та може бути скомпрометований, якщо пристрій зламано. Так само холодні гаманці можуть бути більш громіздкими для користувачів, де закритий ключ зберігається в автономному режимі, і пристрій потрібно витягувати щоразу для підписання транзакції. Подібним чином, з multi-sig, кожна сторона має власний закритий ключ, і, очевидно, хакер може отримати контроль, якщо вкрадено достатню кількість ключів. 

Хакери постійно шукають нові способи маніпулювання вразливими місцями в програмному забезпеченні гаманця безпеки. Що викликає занепокоєння, так це те, що хакери можуть «відстежувати» членів кворуму з гаманця з кількома підписами, надаючи їм видимість того, які користувачі підписуються для кількох підписів (зазвичай за допомогою власних гарячих гаманців). Крім того, вони можуть ідентифікувати користувача на основі активного гаманця та здійснити фішингову атаку. І навіть якщо вони не можуть ідентифікувати користувача, вони все одно можуть ідентифікувати гаманець і знайти інші способи скомпрометувати його. Ці досягнення в складних порушеннях безпеки сприяли зростанню та розвитку безпеки гаманців MPC для запобігання таким атакам. 

Операційно гнучкий і стійкий, MPC дозволяє постійно модифікувати та підтримувати схему підпису та може використовуватися без відома блокчейну. Немає необхідності в кількох підписах у ланцюжку, що забезпечує конфіденційність, коли йдеться про транзакції та керування ключами, і, що важливо, зберігає структурну анонімність, зберігаючи структуру кворуму в секреті. Однак, незважаючи на те, що MPC усуває підзвітність підпису, він все ще дозволяє організації ідентифікувати, які сторони брали участь у підписанні транзакції, не ставлячи під загрозу її безпеку. 

Вирішення компромісу «гаряче проти холодного». 

У децентралізованій системі MPC забезпечує як зручність використання, так і безпеку, але не всі гаманці MPC побудовані однаково. Не бракує механізмів для збереження цифрових активів під замком, і щодня з’являється все більше рішень, зокрема нові пропозиції на основі MPC, особливо після історичного вибух FTX і ширші галузеві розгалуження. Деякі з цих кастодіальних пропозицій є більш усталеними, ніж інші, з більш надійними та ретельно протестованими реалізаціями MPC для запобігання вразливості безпеки. 

Гравці галузі та користувачі повинні проявляти обережність, розглядаючи нові продукти зберігання даних. Одним із ключових факторів, який слід враховувати, є технічні деталі реалізації MPC. Різні протоколи можуть мати різні рівні безпеки, ефективності та простоти використання, тому важливо розуміти компроміси, пов’язані з вибором одного над іншим. Крім того, параметри потрібно правильно вибрати та налаштувати для конкретного випадку використання, щоб забезпечити оптимальний захист. 

Відновлення довіри серед порушень безпеки

Безпечне керування ключами було проблемою, яка зупинила широке впровадження криптовалюти та технології блокчейн. Новина про те, що кредитна платформа DeFi Oasis маніпулювала своїм програмним забезпеченням гаманця з кількома підписами, щоб повернути активи, вкрадені під час злому Wormhole, виявила щілину в броні мультипідпису. Ці невдачі та скандали в усій галузі спровокували дебати про зберігання криптовалюти та про те, який варіант зберігання гаманця пропонує найкраще поєднання зручності використання та безпеки в децентралізованій системі. 

Щоб відновити довіру в галузі, необхідно впровадити надійні заходи безпеки та забезпечити більшу прозорість у мережі для захисту цифрових активів і запобігання шахрайству. Не було жодної дискримінації у втратах, які відчули ці скандали — наслідки поширилися на великі та малі фінансові установи, від стартапів до роздрібних інвесторів. Оскільки криптографія розвивається, безпечні багатосторонні обчислення можуть з’явитися як спосіб забезпечити універсальний доступ до інституційного зберігання для всіх.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://forkast.news/can-crypto-wallets-be-both-accessible-and-hack-proof/