Атака Liquid Exchange: чи може Крипто гаманець бути на 100% захищеним від хакерів?

Японська біржа Криптовалюта Liquid Global побачила близько 100 мільйонів доларів коштів, викрадених під час злому в четвер.

Фірма заявила, що атака була спрямована на її багатосторонню систему обчислення (MPC).

«Цього разу гаманець MPC (використовується для зберігання/управління доставкою криптографічних активів), який використовується нашою сінгапурською дочірньою компанією Quoine Pte, був пошкоджений хакерським хакерством», — йдеться в заяві компанії. допис у блозі про інцидент, перекладено з японської Google.

Зломи не рідкість у Крипто , але Рідка атака було помітно, оскільки MPC – передова криптографічна техніка, у якій приватний ключ, що контролює кошти, колективно генерується набором сторін, жодна з яких не може бачити фрагменти, обчислені іншими, – здається, є Технології , яку вибирають банки та компанії-блакитні фішки, які прагнуть проникнути в Крипто.

Угоди для компаній MPC показують попит на Технології. Ці угоди включають Придбання Curv компанією PayPal у березні і Придбання Gemini Shard X у червні. І BNY Mellon, провідний у світі депозитарний банк, закріпили партнерство з постачальником MPC Fireblocks на початку цього року.

Читайте також: Пояснення MPC: сміливе нове бачення безпеки Крипто грошей

Банки, які придивляються до сектору Криптовалюта, ймовірно, вважають MPC бажаним, оскільки Технології можна налаштувати відповідно до їхніх вимог і пропонує більш гнучкий, самокерований продукт, ніж проста передача ключів сторонньому зберігачу.

MPC провина?

Однак спосіб, у який можна налаштувати гаманці MPC, є місцем, де може прокрастися слабкість, а саме Human помилка, сказав генеральний директор Fireblocks Майкл Шаулов.

Згідно з двома джерелами, знайомими з угодою, Liquid Exchange використовувала Технології MPC, надану ізраїльською Unbound Security. Unbound — це високоповажна криптографічна компанія, яку підтримує Goldman Sachs і використовує JPMorgan Chase у своїх службах на основі блокчейну Onyx.

Прес-секретар Unbound повідомила електронною поштою, що компанія «не може коментувати питання, які виходять за межі нашої компетенції».

За словами Шаулова, атака на Liquid у четвер, ймовірно, була пов'язана зі зломом системи біржі. минулого листопада, коли зловмисник зібрав дані про налаштування безпеки фірми.

«Хоча атака була спрямована на їхні HOT гаманці, які базуються на MPC, я припускаю, що це не має нічого спільного з уразливістю MPC», — сказав Шаулов CoinDesk.

Читайте також: Цей прорив у сфері зберігання Крипто наблизить банки до цифрових активів

На Погляди Шаулова, Політика безпеки біржі, ймовірно, була розроблена таким чином, що вихідний хакер зміг обійти весь процес затвердження та наказати гаманцям виводити монети, не впливаючи на закритий ключ.

«У моєму бізнесі ніщо не є нульовим відсотком», — сказав Шаулов. «Але ймовірність того, що хакер зміг щось вигадати за допомогою протоколу MPC Unbound, дуже, дуже мала».

Тал Беері, головний спеціаліст із безпеки гаманця ZenGo на базі MPC, поділяє цю точку зору.

«Швидше за все, це не MPC, а якась інша проблема», — сказав він CoinDesk через Telegram. "MPC дозволяє користувачам ефективно зменшити ризик викрадення ключів різними сторонами. Тож це може бути вдвічі, утричі складніше ETC, але не неможливо".

Одного ГДК недостатньо

За словами Ліора Ламеша, генерального директора та співзасновника GK8, ізраїльської технологічної фірми, яка використовує MPC у поєднанні з холодними сховищами, які не підключені до Інтернету, атака на Liquid доводить тезу про те, що лише MPC недостатньо.

Ламеш сказав, що хакерство — це повернення інвестицій, і він вважає, що в середньому хакеру потрібно буде інвестувати кілька мільйонів доларів, щоб скомпрометувати кілька комп’ютерів, підключених до Інтернету. MPC означає, що фрагменти ключа, замість того, щоб розташовуватися в ONE підключеному до Інтернету комп’ютері, розташовані в двох або трьох різних підключених до Інтернету комп’ютерах, сказав Ламеш.

Чим більше осколки, тим дорожча атака, але вона залишається гідною справою для Крипто , націленого на сотні мільйонів доларів.

«MPC є більш безпечним, ніж HOT гаманець, але цього недостатньо для банків, яким потрібно керувати Крипто на суму понад десятки мільйонів доларів», — сказав Ламеш в інтерв’ю. «Але добре керувати, скажімо, 2% або 3% активів, тоді як більша частина активів буде управлятися в холодному сховищі, де вони на 100% безпечні, оскільки вони ніколи не підключені до Інтернету».

Бенджамін Пауерс зробив свій внесок у звіт.