Ataque a Liquid Exchange: ¿Puede una billetera de Cripto estar 100 % a salvo de ataques informáticos?

El intercambio de Criptomonedas japonés Liquid Global vio cerca de 100 millones de dólaresde fondos robados en un hackeo el jueves.

La empresa dijo que el ataque tuvo como objetivo su sistema de custodia de computación multipartita (MPC).

“Esta vez, la billetera MPC (usada para la gestión de almacenamiento/entrega de activos criptográficos) utilizada por nuestra subsidiaria de Singapur, Quoine Pte, fue dañada por piratería informática”, dijo la compañía en un comunicado.entrada de blog sobre el incidente, traducido del japonés por Google.

Los hackeos no son poco comunes en el mundo de las Cripto , pero El ataque líquidoFue notable porque MPC, una técnica criptográfica avanzada en la que la clave privada que controla los fondos es generada colectivamente por un conjunto de partes, ninguna de las cuales puede ver los fragmentos calculados por los demás, parece ser la Tecnología preferida por los bancos y las empresas de primera línea que buscan ingresar al Cripto.

Los acuerdos con empresas de MPC reflejan la demanda de la Tecnología. Estos acuerdos incluyen Adquisición de Curv por parte de PayPalen marzo yAdquisición de Shard X por parte de Geminien junio. Y BNY Mellon, el banco de custodia líder en el mundo,cimentó una asociacióncon el proveedor de MPC Fireblocks a principios de este año.

Sigue leyendo: MPC explicado: La nueva y audaz visión para proteger las Cripto

Los bancos interesados ​​en el sector de Criptomonedas probablemente consideren que MPC es deseable porque la Tecnología se puede configurar para satisfacer sus necesidades y ofrece un producto más flexible y autogestionado que simplemente entregar las claves a un custodio externo.

¿Culpable el MPC?

Sin embargo, la forma en que se pueden configurar las billeteras MPC es donde pueden aparecer debilidades, es decir, errores Human , dijo el CEO de Fireblocks, Michael Shaulov.

Liquid Exchange utilizó Tecnología MPC proporcionada por Unbound Security, con sede en Israel, según dos fuentes familiarizadas con el acuerdo. Unbound es una prestigiosa empresa de criptografía respaldada por Goldman Sachs y utilizada por JPMorgan Chase en sus servicios basados ​​en la blockchain Onyx.

Una portavoz de Unbound dijo por correo electrónico que la empresa "no podía hacer comentarios sobre temas que quedan fuera de nuestro ámbito de competencia".

Según Shaulov, el ataque del jueves a Liquid probablemente estuvo relacionado con un hackeo al sistema del exchange.el pasado noviembre, cuando un atacante recopiló datos sobre la configuración de seguridad de la empresa.

"Aunque el ataque fue a sus billeteras HOT que se basan en MPC, supongo que esto no tiene nada que ver con las vulnerabilidades de MPC", dijo Shaulov a CoinDesk.

Sigue leyendo: Este avance en la custodia de Cripto acercará a los bancos a los activos digitales

En Opinión de Shaulov, la Regulación de seguridad del exchange probablemente fue diseñada de tal manera que el hacker original pudo eludir todo su proceso de aprobación y ordenar a las billeteras que retiraran monedas, sin afectar la clave privada.

"En mi sector, nada es cero por ciento", dijo Shaulov. "Pero las probabilidades de que el hacker haya podido averiguar algo con el protocolo MPC de Unbound son muy, muy escasas".

Tal Be'ery, director de seguridad de la billetera ZenGo impulsada por MPC, compartió esa opinión.

"Lo más probable es que no sea el MPC, sino algún otro problema", declaró a CoinDesk por Telegram. "El MPC permite a los usuarios reducir eficazmente el riesgo de robo de claves mediante el factor de las diferentes partes. Así que puede ser el doble, el triple, ETC, pero no imposible".

El MPC por sí solo no es suficiente

El ataque a Liquid demuestra la tesis de que MPC por sí solo no es suficiente, según Lior Lamesh, CEO y cofundador de GK8, una empresa israelí de tecnología de custodia que utiliza MPC en combinación con bóvedas frías, que no están conectadas a Internet.

Lamesh afirmó que el hacking se basa en el retorno de la inversión (ROI), y estima que, en promedio, un hacker necesitaría invertir varios millones de dólares para comprometer varias computadoras conectadas a internet. MPC significa que los fragmentos de la clave, en lugar de estar ubicados en una computadora conectada a internet, se encuentran en dos o tres computadoras diferentes conectadas a internet, explicó Lamesh.

Cuanto másfragmentos, más costoso es el ataque, pero sigue siendo una actividad que vale la pena para un hacker de Cripto que busca cientos de millones de dólares.

“MPC es más seguro que una billetera HOT , pero no es suficiente por sí solo para los bancos que necesitan gestionar Cripto por valor de más de decenas de millones de dólares”, declaró Lamesh en una entrevista. “Pero está bien gestionar, digamos, el 2% o el 3% de los activos, mientras que la mayoría de estos se gestionarán en una bóveda fría donde están 100% seguros, ya que nunca están conectados a internet”.

Benjamin Powers colaboró con este reportaje.