Ataque à Liquid Exchange: uma carteira de Cripto pode estar 100% segura contra hacks?

A bolsa de Criptomoeda japonesa Liquid Global viu perto de US$ 100 milhõesde fundos roubados em um hack na quinta-feira.

A empresa disse que o ataque teve como alvo seu sistema de custódia de computação multipartidária (MPC).

“Desta vez, a carteira MPC (usada para armazenamento/gerenciamento de entrega de ativos criptográficos) usada por nossa subsidiária de Cingapura, Quoine Pte, foi danificada por hacking”, disse a empresa em um comunicado.postagem de blog sobre o incidente, traduzido do japonês pelo Google.

Hacks não são incomuns no mundo das Cripto , mas o ataque líquidofoi notável porque o MPC – uma técnica criptográfica avançada na qual a chave privada que controla os fundos é gerada coletivamente por um conjunto de partes, nenhuma das quais pode ver os fragmentos calculados pelas outras – parece ser a Tecnologia de escolha entre bancos e empresas de primeira linha que buscam entrar no Cripto.

Os acordos para empresas de MPC mostram a demanda pela Tecnologia. Esses acordos incluem Aquisição da Curv pelo PayPalem março eAquisição da Shard X pela Geminiem junho. E o BNY Mellon, o banco de custódia líder mundial,consolidou uma parceriacom o provedor de MPC Fireblocks no início deste ano.

Leia Mais: MPC Explicado: A Nova Visão Ousada para Proteger o Dinheiro Cripto

Os bancos de olho no setor de Criptomoeda provavelmente veem o MPC como desejável porque a Tecnologia pode ser configurada para atender às suas necessidades e oferece um produto mais flexível e autogerenciado do que simplesmente entregar as chaves a um custodiante terceirizado.

Culpa do MPC?

No entanto, a maneira como as carteiras MPC podem ser configuradas é onde a fraqueza, ou seja, o erro Human , pode surgir, disse o CEO da Fireblocks, Michael Shaulov.

A Liquid Exchange usou a Tecnologia MPC fornecida pela Unbound Security, sediada em Israel, de acordo com duas fontes familiarizadas com o acordo. A Unbound é uma empresa de criptografia altamente respeitada, apoiada pelo Goldman Sachs e usada pelo JPMorgan Chase em seus serviços baseados em blockchain Onyx.

Uma porta-voz da Unbound disse por e-mail que a empresa "não podia comentar sobre itens que estivessem fora de nossa competência".

De acordo com Shaulov, o ataque de quinta-feira à Liquid provavelmente estava relacionado a um hack no sistema da bolsanovembro passado, quando um invasor coletou dados sobre a configuração de segurança da empresa.

“Embora o ataque tenha sido em suas carteiras HOT baseadas em MPC, minha suposição é que isso não tem nada a ver com vulnerabilidades de MPC”, disse Shaulov ao CoinDesk.

Leia Mais: Este avanço na custódia de Cripto aproximará os bancos dos ativos digitais

Na Opinião de Shaulov, a Política de segurança da exchange provavelmente foi projetada de tal forma que o hacker original conseguiu ignorar todo o processo de aprovação e instruir as carteiras a retirar moedas, sem afetar a chave privada.

“No meu negócio, nada é zero por cento”, disse Shaulov. “Mas as chances de que o hacker tenha conseguido descobrir algo com o protocolo MPC da Unbound são muito, muito pequenas.”

Tal Be'ery, diretor de segurança da carteira ZenGo, alimentada pelo MPC, compartilha dessa opinião.

“Provavelmente não é o MPC, mas algum outro problema”, ele disse ao CoinDesk via Telegram. “O MPC permite que os usuários reduzam efetivamente o risco de roubo de chaves pelo fator das diferentes partes. Então pode ser 2X mais difícil, 3X mais difícil, ETC, mas não impossível.”

O MPC sozinho não é suficiente

O ataque à Liquid prova a tese de que o MPC sozinho não é suficiente, de acordo com Lior Lamesh, CEO e cofundador da GK8, uma empresa israelense de tecnologia de custódia que usa MPC em combinação com cofres frios, que não são conectados à internet.

Lamesh disse que hackear é sobre retorno sobre investimento, e ele estima que, em média, um hacker precisaria investir alguns milhões de dólares para comprometer alguns computadores conectados à internet. MPC significa que fragmentos da chave, em vez de estarem localizados em um computador conectado à internet, estão localizados em dois ou três computadores diferentes conectados à internet, disse Lamesh.

Quanto maiscacos, mais caro será o ataque, mas continua sendo uma busca valiosa para um hacker de Cripto que tem como alvo centenas de milhões de dólares.

“O MPC é mais seguro do que uma carteira HOT , mas não é o suficiente por si só para bancos que precisam gerenciar mais do que dezenas de milhões de dólares em Cripto”, disse Lamesh em uma entrevista. “Mas é bom gerenciar, digamos, 2% ou 3% dos ativos, enquanto a maioria dos ativos será gerenciada em um cofre frio, onde eles estão 100% seguros, já que nunca estão conectados à internet.”

Benjamin Powers contribuiu com a reportagem.