Նույնիսկ 2021 թվականին Թվային ակտիվների անվտանգությունը մնում է արդյունաբերության լայնածավալ խնդիր

Cryպտյալ արժույթների համայնքը ծայրահեղ սովոր է հակերների և անվտանգության միջադեպերի համար: Այնուամենայնիվ, սա չի նշանակում, որ այս միջադեպերը մտահոգության տեղիք չեն տալիս:

2021 թվականի հունիսը հատկապես վատ ամիս էր անվտանգության համար: Տեղի ունեցավ անվտանգության երկու բարձրակարգ իրադարձություն: Երկուսն էլ բոլորովին այլ խնդիրներ էին, բայց հանդիսանում են բլոկչեյններից կոտրված ընդհանուր գնահատված գումարի ներդրողները: Այս գնահատականը ներկայումս կազմում է 20.32 միլիարդ դոլար: 

Երկուսից ամենամեծը Աֆրիկեպտի սկանդալն էր: Դա հանգեցրել է 3.6 միլիարդ դոլարի վնասների: Միջադեպը, որը կրում է ելքի խաբեության բոլոր նշանները, սկսվել է ապրիլին:

Սա այն ժամանակ էր, երբ Afrinrypt բորսան հաղորդեց կոտրելու մասին: Այնուամենայնիվ, փոխանակման ղեկավար երկու եղբայրները ՝ Ամիրը և Ռեյզ Քաջին, անհետացան նախօրոք շաբաթներ առաջ շքեղ ապրանքների մեծ մաս վաճառելուց հետո: 

Մասնավորապես, տեղական առևտրային հարթակները, ըստ երևույթին, հարմարվում են այս տեսակի շահագործմանը: Ապրիլին թուրքական Thodex կրիպտոարժույթի փոխանակման գործադիր տնօրենը անհետացավ, ինչպես նաև ավելի քան 2 միլիարդ դոլարի հաճախորդների միջոցներ:

Էլ չենք խոսում կանադական փոխանակման Quadriga CX- ի տխրահռչակ դեպքի մասին: 2019 -ի սկզբին պարզվեց, որ հիմնադիր raերալդ Կոտենը մահացել է ՝ իր հետ գերեզման հասցնելով հաճախորդների 145 միլիոն դոլարի միջոցները: Այդ պատմությունը մինչ օրս դեռ հետաքննության փուլում է: 

Բացահայտեք Fireblocks միջադեպը

Աֆրիկեպտի հետ մեկտեղ, հունիսին տեղի ունեցավ ևս մեկ միջադեպ, որը փոքր -ինչ ավելի քիչ սկանդալային էր: Այնուամենայնիվ, այն ցույց է տալիս մասնավոր բանալիների անվտանգության շուրջ որոշ կարևոր դասեր, որոնք արժանի են ուշադրության: Մասնավորապես հաստատությունների և նրանց թվային ակտիվների համար պահառության ծառայություններին ապավինողների համար: 

Հունիսի վերջերին պարզ դարձավ, որ StakeHound- ը ՝ գաղտնագրման մեջ ներգրավված ծպտյալ ընկերությունը, դատական ​​հայց էր ներկայացրել Fireblocks խնամակալության մատակարարի դեմ: Հայցում նշվում է, որ Fireblocks- ը կորցրել է մոտ 75 միլիոն դոլար արժողությամբ եթեր, որի պատասխանատվությունը նա էր կրում: Այնուամենայնիվ, ավելի խորը փորելով, շատ ավելին է կատարվում մակերեսի տակ: 

Fireblocks- ը Forbes- ին հայտնեց, որ այն պայմանագրված է StakeHound- ի հետ երկու ծառայության համար: Առաջինը դրա ստանդարտ ծածկագրային արժույթի պահառության առաջարկն էր: Մյուսը միանգամյա պայմանավորվածություն էր, երբ Fireblocks- ը աջակցեց StakeHound- ին `գրելով ծրագիր` ստորագրություններ ստեղծելու համար `ստուգելու պայմանագրի իսկությունը:

StakeHound- ը բանալին ստեղծեց ծրագրի միջոցով, այնուհետև օգտագործեց բանալին ՝ 38,178 ETH ուղարկելու Ethereum 2.0 խաղադրույքի պայմանագրին: 

Ահա, որտեղ ամեն ինչ կարծես թե քանդվել է: Fireblocks- ը նշում է, որ StakeHound- ը ցանկանում էր, որ նա պահպանի մասնավոր բանալու կեսը անվտանգության նկատառումներով, ինչին համաձայնեց բանավոր կերպով:

StakeHound- ը բանալին իր մասնաբաժինը ուղարկեց Coincover- ին որպես պահեստային, սակայն Fireblocks- ը դա չուղարկեց: Քանի որ այս պայմանավորվածությունը միանգամյա էր, և ստորագրությունները Fireblocks- ի սովորական պահուստային ընթացակարգերի մաս չէին: Երբ ընկերության համակարգերից մեկն ընկավ, այն կորցրեց բանալին: Բացի այդ, կրկնօրինակում չկար:

Այժմ, StakeHound- ը չի կարող մուտք գործել 38,178 ETH- ից որևէ մեկը, որը փակված է խաղադրույքի պայմանագրում: Բացի այդ, միջոցները հավանաբար ընդմիշտ կկորչեն:

HSMs ընդդեմ MPC

Չկա որևէ կերպ իմանալու, թե ով ինչ է ասել կամ ինչ ճանապարհով է ընթանալու հայցը: Տեղեկատվության համար հարկ է նաև նշել, որ Fireblocks- ը հայտարարել է, որ իր հաճախորդները մտահոգվելու պատճառ չունեն, քանի որ այս միջադեպը դուրս էր իր սովորական ընթացակարգերից:

Ընկերությունը նաև ասել է, որ StakeHound- ը դեռ օգտագործում է Fireblocks- ը ամենօրյա գաղտնագրման պահպանման ծառայությունների համար: Այնուամենայնիվ, արժե ուսումնասիրել միջադեպը: Այն ընդգծում է անվտանգության հիմնարար թերությունը ՝ անվտանգության ապահովման համար բազմակուսակցական հաշվարկին կամ բազմ ստորագրությամբ դրամապանակներին ապավինելուն: 

Թվային ակտիվների անվտանգության էվոլյուցիայի այս պահին բազմ ստորագրությամբ դրամապանակներն ապահովում են բավականին թույլ անվտանգություն: Ի վերջո, ոչ մի կերպ հնարավոր չէ իմանալ, թե ում է հասանելի մասնավոր բանալիները, ինչը նշանակում է, որ դրանք իրենց բնույթով ավելի ապահով չեն, քան մեկ ստորագրության դրամապանակը: 

Ներկայումս պահառուներն օգտագործում են անվտանգության երկու հիմնական ձև ՝ անձնական բանալիները և, հետևաբար, թվային ակտիվները պաշտպանելու համար: Դրանք ապարատային անվտանգության մոդուլներ են կամ HSM և բազմակողմանի հաշվարկներ կամ MPC:

HSM- ները ֆիզիկական ապարատային սարքեր են, որոնք համապատասխանում են մի քանի գլոբալ ճանաչված չափանիշներին, որոնք հաստատում են մասնավոր բանալիների անվտանգ ստեղծումն ու պահումը: HSM- ն օգտագործվում է պետական ​​և մասնավոր հատվածներում: Սա ներառում է ռազմական և բանկային օգտագործման դեպքերը: 

MPC- ն ներառում է մասնավոր բանալին մասերի բաժանելը և յուրաքանչյուր մասի առանձին պահելը տարբեր սարքերի կամ ամպային պահպանման սերվերների վրա, ինչպես դա համաձայնեցին անել StakeHound- ը և Fireblocks- ը: Գաղափարն այն է, որ եթե հաքերը խախտում է մեկը, հարձակվողին չի հասնում բավականաչափ տեղեկատվության ՝ ամբողջ մասնավոր բանալին հավաքելու համար: 

Ապացուցված պահուստային լուծում

Երկուսի միջև կարևոր տարբերությունն այն է, որ HSM- ներն ունեն բանալիների համար պահուստային մեխանիզմներ, որոնք ապահովում են, որ օգտվողները երբեք չկորցնեն իրենց միջոցների հասանելիությունը:

Սովորաբար, HSM օգտվողները հագեցած են ֆիզիկական պահուստային քարտերով, որոնք ապահով պահվում են բազմաթիվ վայրերում: Օգտագործողները կարող են տեղակայել պահուստային քարտերը ՝ վերականգնելու համար ամեն անգամ, երբ ստեղծվում է նոր բանալին: 

MPC լուծումները չունեն պահուստային բանալիներ ստեղծելու ներկառուցված մեխանիզմ: Ավելին, MPC ստեղների համար կրկնօրինակում ստեղծելը բավականին բարդ է: Դա պայմանավորված է նրանով, որ գործընթացը ներառում է բազմաթիվ կողմեր: Այս պատճառով մտահոգություններ կան ցանկացած պահեստային լուծման օգտագործման հնարավորության վերաբերյալ: 

Առայժմ գաղտնագրման արժեթղթերի անվտանգության էվոլյուցիայի ընթացքում HSM- ները ապացուցվել են, որ միակ միջոցն է, որ կազմակերպությունները կարող են ապահով կերպով ապահովել իրենց անձնական բանալիների պատճենը: Այն երաշխավորում է, որ կորստի դեպքում նրանք դեռ կարող են մուտք գործել իրենց ծպտյալ արժույթները:

Այս իմաստով, նրանք մնում են հարձակումների դեմ անվտանգության ամենաուժեղ ձևը: Միևնույն ժամանակ, MPC- ն շարունակում է մնալ գաղտնագրման հուզիչ նոր ճյուղ: Այն զգալի խոստում է տալիս կիբերանվտանգության ոլորտին: Այն նաև ավելի հարմարավետություն է տալիս օգտվողներին փորձարկված և ապացուցված մեթոդներով `իրենց միջոցները հարձակվողներից պաշտպանելու համար: 

հրաժարում


Մեր կայքում պարունակվող ողջ տեղեկատվությունը հրապարակվում է բարեխղճորեն և միայն ընդհանուր տեղեկատվական նպատակներով: Actionանկացած գործողություն, որը ընթերցողը ձեռնարկում է մեր կայքում հայտնաբերված տեղեկատվության նկատմամբ, խստորեն իրենց ռիսկի տակ է:

Աղբյուր ՝ https://beincrypto.com/even-in-2021-digital-asset-security-remains-an-industry-wide-problem/


YouTube video