Liquid Exchange Attack: Maaari Bang Maging 100% Ligtas Mula sa Mga Hack ang isang Crypto Wallet?

Japanese Cryptocurrency exchange Liquid Global saw malapit sa $100 milyon ng mga pondong ninakaw sa isang hack noong Huwebes.

Sinabi ng kompanya na target ng pag-atake ang multiparty computation (MPC) system of custody nito.

"Sa pagkakataong ito, ang wallet ng MPC (ginamit para sa warehousing/delivery management ng cryptographic assets) na ginamit ng aming subsidiary sa Singapore na Quoine Pte ay nasira dahil sa pag-hack," sabi ng kumpanya sa isang blog post sa insidente, isinalin mula sa Japanese ng Google.

Ang mga hack ay hindi karaniwan sa mundo ng Crypto , ngunit ang pag-atake ng Liquid ay kapansin-pansin dahil ang MPC – isang advanced na cryptographic technique kung saan ang pribadong key na nagkokontrol ng mga pondo ay sama-samang nabuo ng isang hanay ng mga partido, na walang sinuman sa kanila ang nakakakita ng mga fragment na kinakalkula ng iba pa – ay lumilitaw na ang Technology pinili sa mga bangko at blue chip na kumpanya na naghahanap upang makapasok sa Crypto.

Ang mga deal para sa mga kumpanya ng MPC ay nagpapakita ng pangangailangan para sa Technology. Kasama sa mga deal na iyon Ang pagkuha ng PayPal ng Curv noong Marso at Ang pagkuha ni Gemini ng Shard X noong Hunyo. At ang BNY Mellon, ang nangungunang custody bank sa mundo, pinagtibay ang isang partnership kasama ang provider ng MPC na Fireblocks sa unang bahagi ng taong ito.

Read More: Ipinaliwanag ng MPC: Ang Matapang na Bagong Pananaw para sa Pag-secure ng Crypto Money

Ang mga bangko na tumitingin sa sektor ng Cryptocurrency ay malamang na nakikita ang MPC bilang kanais-nais dahil ang Technology ay maaaring i-configure upang matugunan ang kanilang mga kinakailangan at nag-aalok ng isang mas flexible, self-managed na produkto kaysa sa simpleng pagbibigay ng mga susi sa isang third-party na tagapag-ingat.

MPC culpa?

Gayunpaman, ang paraan kung saan maaaring i-configure ang mga wallet ng MPC ay kung saan ang kahinaan, lalo na ang pagkakamali ng Human , ay maaaring gumapang, sinabi ng CEO ng Fireblock na si Michael Shaulov.

Ginamit ng Liquid Exchange ang Technology MPC na ibinigay ng Unbound Security na nakabase sa Israel, ayon sa dalawang mapagkukunang pamilyar sa kaayusan. Ang Unbound ay isang lubos na iginagalang na kumpanya ng cryptography na sinusuportahan ng Goldman Sachs at ginagamit ng JPMorgan Chase sa mga serbisyong nakabatay sa Onyx blockchain nito.

Sinabi ng isang tagapagsalita para sa Unbound sa pamamagitan ng email na ang kumpanya ay "hindi makapagkomento sa mga item na nasa labas ng aming remit."

Ayon kay Shaulov, ang pag-atake ng Huwebes sa Liquid ay malamang na nauugnay sa isang hack sa sistema ng palitan noong nakaraang Nobyembre, kapag ang isang umaatake ay nangalap ng data tungkol sa setup ng seguridad ng kumpanya.

"Bagaman ang pag-atake ay nasa kanilang mga HOT na wallet na nakabatay sa MPC, ang aking palagay ay wala itong kinalaman sa mga kahinaan ng MPC," sinabi ni Shaulov sa CoinDesk.

Read More: Ilalapit ng Crypto Custody Breakthrough na ito ang mga Bangko sa Mga Digital na Asset

Sa Opinyon ni Shaulov, malamang na idinisenyo ang Policy sa seguridad ng palitan sa paraang nagawa ng orihinal na hacker na i-bypass ang buong proseso ng pag-apruba nito at inutusan ang mga wallet na mag-withdraw ng mga barya, nang hindi naaapektuhan ang pribadong key.

"Sa aking negosyo, walang zero percent," sabi ni Shaulov. "Ngunit ang mga pagkakataon na nalaman ng hacker ang isang bagay sa MPC protocol ng Unbound ay napakaliit."

Ibinahagi ni Tal Be'ery, punong opisyal ng seguridad ng wallet na pinapagana ng MPC na ZenGo, ang pananaw na iyon.

"Malamang na hindi ito ang MPC, ngunit ilang iba pang problema," sinabi niya sa CoinDesk sa pamamagitan ng Telegram. "Ang MPC ay nagbibigay-daan sa mga user na epektibong bawasan ang panganib ng pagnanakaw ng susi sa pamamagitan ng salik ng iba't ibang partido. Kaya maaari itong maging 2X mas mahirap, 3X mas mahirap, ETC., ngunit hindi imposible."

Hindi sapat ang MPC lamang

Ang pag-atake sa Liquid ay nagpapatunay sa thesis na ang MPC lamang ay hindi sapat, ayon kay Lior Lamesh, CEO at co-founder ng GK8, isang Israeli custody tech firm na gumagamit ng MPC kasama ng mga cold vault, na hindi konektado sa internet.

Sinabi ni Lamesh na ang pag-hack ay tungkol sa return on investment, at tinatantya niya na sa karaniwan ay kakailanganin ng isang hacker na mamuhunan ng ilang milyong dolyar upang makompromiso ang ilang mga computer na nakakonekta sa internet. Nangangahulugan ang MPC na ang mga fragment ng susi, sa halip na matatagpuan sa ONE computer na nakakonekta sa internet, ay matatagpuan sa dalawa o tatlong magkakaibang computer na nakakonekta sa internet, sabi ni Lamesh.

Ang higit pa mga tipak, mas mahal ang pag-atake, ngunit nananatili itong isang kapaki-pakinabang na pagtugis para sa isang Crypto hacker na nagta-target ng daan-daang milyong dolyar.

“Mas secure ang MPC kaysa sa isang HOT na pitaka, ngunit hindi ito sapat para sa mga bangko na kailangang pamahalaan ang higit sa sampu-sampung milyong dolyar na halaga ng Crypto,” sabi ni Lamesh sa isang panayam. “Ngunit mainam na pamahalaan, halimbawa, 2% o 3% ng mga asset, habang ang karamihan sa mga asset ay pamamahalaan sa isang malamig na vault kung saan sila ay 100% na ligtas dahil hindi sila kailanman nakakonekta sa internet.”

Nag-ambag si Benjamin Powers ng pag-uulat.