Attacco a Liquid Exchange: un portafoglio Cripto può mai essere al sicuro al 100% dagli hacker?

Lo scambio Criptovaluta giapponese Liquid Global ha visto vicino ai 100 milioni di dollaridi fondi rubati durante un attacco informatico avvenuto giovedì.

L'azienda ha affermato che l'attacco aveva come bersaglio il suo sistema di custodia basato su calcoli multipartitici (MPC).

"Questa volta, il portafoglio MPC (utilizzato per la gestione dell'immagazzinamento/consegna di asset crittografici) utilizzato dalla nostra sussidiaria di Singapore Quoine Pte è stato danneggiato dall'hacking", ha affermato la società in unpost del blog sull'incidente, tradotto dal giapponese da Google.

Gli hack non sono rari nel mondo Cripto , ma l'attacco Liquidoè stato degno di nota perché MPC, una tecnica crittografica avanzata in cui la chiave privata che controlla i fondi è generata collettivamente da un insieme di parti, nessuna delle quali può vedere i frammenti calcolati dagli altri, sembra essere la Tecnologie preferita dalle banche e dalle aziende blue chip che cercano di entrare nel settore Cripto.

Le offerte per le aziende MPC mostrano la domanda per la Tecnologie. Tali offerte includono L’acquisizione di Curv da parte di PayPala marzo eL’acquisizione di Shard X da parte di Geminia giugno. E BNY Mellon, la banca depositaria leader al mondo,ha cementato una partnershipcon il fornitore MPC Fireblocks all'inizio di quest'anno.

Continua a leggere: MPC spiegato: la nuova visione audace per proteggere la Cripto

Le banche che hanno messo gli occhi sul settore Criptovaluta probabilmente ritengono che MPC sia una soluzione desiderabile perché la Tecnologie può essere configurata per soddisfare le loro esigenze e offre un prodotto più flessibile e autogestito rispetto alla semplice consegna delle chiavi a un depositario terzo.

Colpa del MPC?

Tuttavia, il modo in cui i portafogli MPC possono essere configurati è il punto debole, ovvero l'errore Human , che può insinuarsi, ha affermato il CEO di Fireblocks Michael Shaulov.

Liquid Exchange ha utilizzato la Tecnologie MPC fornita da Unbound Security con sede in Israele, secondo due fonti a conoscenza dell'accordo. Unbound è una società di crittografia molto rispettata, supportata da Goldman Sachs e utilizzata da JPMorgan Chase nei suoi servizi basati sulla blockchain Onyx.

Un portavoce di Unbound ha dichiarato via e-mail che la società "non è in grado di commentare questioni che esulano dalla nostra competenza".

Secondo Shaulov, l’attacco di giovedì a Liquid era probabilmente correlato a un hack nel sistema di scambiolo scorso novembre, quando un aggressore ha raccolto dati sulle impostazioni di sicurezza dell’azienda.

"Sebbene l'attacco abbia interessato i loro HOT wallet basati su MPC, la mia ipotesi è che ciò non abbia nulla a che fare con le vulnerabilità MPC", ha detto Shaulov a CoinDesk.

Continua a leggere: Questa svolta nella custodia Cripto avvicinerà le banche alle risorse digitali

Opinioni Shaulov, la Politiche di sicurezza dell'exchange è stata probabilmente concepita in modo tale che l'hacker originale fosse in grado di aggirare l'intero processo di approvazione e di ordinare ai portafogli di prelevare monete, senza compromettere la chiave privata.

"Nel mio settore, niente è allo zero percento", ha detto Shaulov. "Ma le possibilità che l'hacker sia riuscito a capire qualcosa con il protocollo MPC di Unbound sono molto, molto scarse".

Tal Be'ery, responsabile della sicurezza del portafoglio ZenGo basato su MPC, ha condiviso questo punto di vista.

"Molto probabilmente non è l'MPC, ma qualche altro problema", ha detto a CoinDesk tramite Telegram. "L'MPC consente agli utenti di ridurre efficacemente il rischio di furto di chiavi in ​​base al fattore delle diverse parti. Quindi può essere 2 volte più difficile, 3 volte più difficile, ETC., ma non impossibile".

Il MPC da solo non basta

L'attacco a Liquid dimostra la tesi secondo cui MPC da solo non è sufficiente, secondo Lior Lamesh, CEO e co-fondatore di GK8, un'azienda tecnologica israeliana di custodia che utilizza MPC in combinazione con cold vault, che non sono connessi a Internet.

Lamesh ha detto che l'hacking riguarda il ritorno sull'investimento e stima che in media un hacker dovrebbe investire qualche milione di dollari per compromettere alcuni computer connessi a Internet. MPC significa che frammenti della chiave, invece di essere situati in ONE computer connesso a Internet, si trovano in due o tre computer diversi connessi a Internet, ha detto Lamesh.

Piùframmenti, più costoso è l'attacco, ma resta comunque un obiettivo che vale la pena perseguire per un hacker Cripto che mira a centinaia di milioni di dollari.

"MPC è più sicuro di un HOT wallet, ma non è sufficiente da solo per le banche che devono gestire più di decine di milioni di dollari di Cripto", ha detto Lamesh in un'intervista. "Ma va bene gestire, diciamo, il 2% o il 3% degli asset, mentre la maggior parte degli asset sarà gestita in un cold vault dove sono al 100% sicuri poiché non sono mai connessi a Internet".

Benjamin Powers ha contribuito al reportage.