Атака на биржу Liquid: может ли Криптo быть на 100% защищен от взломов?

Японская Криптовалюта биржа Liquid Global увидела около 100 миллионов долларовсредств, украденных в результате взлома в четверг.

Компания заявила, что атака была направлена на ее систему хранения данных многосторонних вычислений (MPC).

«На этот раз кошелек MPC (используемый для хранения/управления доставкой криптографических активов), используемый нашей дочерней компанией Quoine Pte в Сингапуре, был поврежден в результате взлома», — говорится в заявлении компании.запись в блоге об инциденте, перевод с японского Google.

Взломы не редкость в мире Криптo , но Жидкая атакабыл примечателен тем, что MPC — передовая криптографическая технология, в которой закрытый ключ, управляющий средствами, генерируется коллективно группой сторон, ни одна из которых не может видеть фрагменты, вычисленные другими, — по-видимому, является Технологии , которую предпочитают банки и ведущие компании, стремящиеся заняться Криптo.

Сделки для MPC компаний показывают спрос на Технологии. Эти сделки включают Приобретение Curv компанией PayPalв марте иПриобретение Gemini Shard Xв июне. И BNY Mellon, ведущий в мире банк-депозитарий,закрепили партнерствос поставщиком MPC Fireblocks в начале этого года.

Читать дальше: Объяснение MPC: смелое новое видение безопасности Криптo

Банки, присматривающиеся к сектору Криптовалюта, вероятно, считают MPC желанной Технологии , поскольку ее можно настроить в соответствии с их требованиями, и она предлагает более гибкий, самоуправляемый продукт, чем простая передача ключей стороннему хранителю.

Виноват MPC?

Однако, как отметил генеральный директор Fireblocks Майкл Шаулов, способ настройки кошельков MPC может стать причиной слабости, а именно Human ошибок.

По словам двух источников, знакомых с соглашением, Liquid Exchange использовала Технологии MPC, предоставленную израильской компанией Unbound Security. Unbound — это весьма уважаемая криптографическая компания, поддерживаемая Goldman Sachs и используемая JPMorgan Chase в своих сервисах на основе блокчейна Onyx.

Представитель Unbound сообщила по электронной почте, что компания «не может комментировать вопросы, которые выходят за рамки нашей компетенции».

По словам Шаулова, атака на Liquid в четверг, вероятно, была связана со взломом системы биржи.в ноябре прошлого года, когда злоумышленник собрал данные о системе безопасности фирмы.

«Хотя атака была совершена на их HOT кошельки, основанные на MPC, я предполагаю, что это не имеет никакого отношения к уязвимостям MPC», — сказал Шаулов CoinDesk.

Читать дальше: Этот прорыв в сфере Криптo приблизит банки к цифровым активам

По Мнение Шаулова, Политика безопасности биржи, вероятно, была разработана таким образом, что первоначальный хакер смог обойти весь процесс одобрения и дать команду кошелькам вывести монеты, не затрагивая при этом закрытый ключ.

«В моем бизнесе нет ничего с нулевым процентом», — сказал Шаулов. «Но шансы на то, что хакер смог что-то придумать с протоколом MPC Unbound, очень и очень малы».

Таль Беэри, главный специалист по безопасности кошелька ZenGo на базе MPC, разделяет эту точку зрения.

«Скорее всего, это не MPC, а какая-то другая проблема», — сказал он CoinDesk через Telegram. «MPC позволяет пользователям эффективно снизить риск кражи ключей за счет фактора разных сторон. Так что это может быть в 2 раза сложнее, в 3 раза сложнее и ETC., но не невозможно».

Одного MPC недостаточно

По словам Лиора Ламеша, генерального директора и соучредителя GK8, израильской компании по хранению данных, которая использует MPC в сочетании с холодными хранилищами, не подключенными к Интернету, атака на Liquid подтверждает тезис о том, что одного MPC недостаточно.

Лэмеш сказал, что хакерство — это вопрос возврата инвестиций, и он подсчитал, что в среднем хакеру нужно будет вложить несколько миллионов долларов, чтобы взломать несколько подключенных к интернету компьютеров. MPC означает, что фрагменты ключа, вместо того, чтобы находиться на ONE подключенном к интернету компьютере, находятся на двух или трех разных подключенных к интернету компьютерах, сказал Лэмеш.

Чем большеосколки, тем дороже атака, но она остается стоящим занятием для Криптo , нацелившегося на сотни миллионов долларов.

«MPC более безопасен, чем HOT кошелек, но его самого по себе недостаточно для банков, которым необходимо управлять Криптo на сумму более десятков миллионов долларов», — сказал Ламеш в интервью. «Но вполне нормально управлять, скажем, 2% или 3% активов, в то время как большая часть активов будет управляться в холодном хранилище, где они на 100% безопасны, поскольку они никогда не подключены к Интернету».

В подготовке репортажа принимал участие Бенджамин Пауэрс.