Недавняя волна взломов, банкротств и потерянных начальных фраз привела к появлению целого ряда приложений для криптокошельков для безопасного хранения закрытых ключей, связанных с криптовалютами. Поскольку пользователи стремятся сохранить полный контроль и право собственности на свои цифровые активы, многие придерживаются мантры самозащиты — берут безопасность в свои руки с помощью инфраструктуры безопасности кошелька без разрешений.
Но это сопряжено с новым набором проблем, включая сложность управления закрытыми ключами и потенциальную потерю или кражу, из-за чего многие пользователи не решаются полностью использовать этот подход. К сожалению, эти опасения небезосновательны. Кроме того, различные доступные варианты хранения, такие как горячие и холодные криптовалютные кошельки, а также улучшенные методы безопасности, такие как те, которые предоставляются кошельками с несколькими подписями, могут быть непосильными для пользователей. Эти проблемы усугубляет тревожный всплеск атак и эксплойтов в прошлом году, которые поставили под угрозу безопасность цифровых активов пользователей.
Особенно примечательно то, что стало известно как взлом Ronin. В марте 2022 года связанная с Северной Кореей группа Lazarus успешно взломала сеть Ronin Network, ключевую платформу для популярной мобильной игры Axie Infinity для Web3, похитив ETH и USDC на сумму более 600 миллионов долларов США. Этот эксплойт был значительным — он был одним из крупнейших в секторе децентрализованных финансов, но оставался незамеченным более недели. В предыдущем месяце хакер украл 320 миллионов долларов из Wormhole bridge между Solana и Ethereum. В обоих случаях злоумышленникам удалось скомпрометировать мультисигнальный кошелек, похитив достаточное количество ключей.
После этих эксплойтов защищенные многопартийные вычисления (MPC) становятся многообещающим способом сбалансировать доступность и безопасность при хранении закрытых ключей.
Хакеры постоянно ищут новые способы манипулирования уязвимостями в программном обеспечении кошелька безопасности. Что вызывает беспокойство, так это то, что хакеры могут ”отслеживать" членов кворума из кошелька с несколькими сигами, предоставляя им видимость того, какие пользователи подписываются на мультисиг (обычно используя свои собственные горячие кошельки). Кроме того, они могут идентифицировать пользователя на основе используемого горячего кошелька и выполнить фишинговую атаку. И даже если они не могут идентифицировать пользователя, они все равно могут идентифицировать кошелек и найти другие способы скомпрометировать его. Эти достижения в области сложных нарушений безопасности ускорили рост и развитие системы безопасности MPC wallet для предотвращения подобных атак.
Операционно гибкий и отказоустойчивый MPC позволяет постоянно изменять и поддерживать схему подписи и может использоваться без ведома блокчейна. Нет необходимости в нескольких подписях в цепочке, что обеспечивает конфиденциальность, когда дело доходит до транзакций и управления ключами, и, что особенно важно, поддерживает структурную анонимность, сохраняя структуру кворума в секрете. Однако, хотя MPC устраняет ответственность за подпись, он по-прежнему позволяет организации определять, какие стороны участвовали в подписании транзакции, без ущерба для ее безопасности.
Решение проблемы компромисса между горячим и холодным
В децентрализованной системе MPC обеспечивает как удобство использования, так и безопасность, но не все кошельки MPC построены одинаково. Нет недостатка в механизмах хранения цифровых активов под замком, и каждый день появляется все больше решений, включая новые предложения на основе MPC, особенно после исторического краха FTX и более широких последствий для отрасли. Некоторые из этих депозитарных предложений более устоявшиеся, чем другие, с более надежными и тщательно протестированными реализациями MPC для предотвращения уязвимостей в системе безопасности.
Игроки отрасли и пользователи должны проявлять осторожность при рассмотрении новых продуктов для хранения данных. Одним из ключевых факторов, который следует учитывать, являются технические детали реализации MPC. Разные протоколы могут иметь разный уровень безопасности, эффективности и простоты использования, и важно понимать компромиссы, связанные с выбором одного над другим. Кроме того, параметры должны быть правильно выбраны и настроены для конкретного варианта использования, чтобы обеспечить оптимальную безопасность.
Восстановление доверия в условиях нарушений безопасности
Безопасное управление ключами было проблемой, которая остановила широкое внедрение криптовалюты и технологии блокчейн. Новость о том, что кредитная платформа DeFi Oasis манипулировала своим программным обеспечением кошелька с несколькими подписями, чтобы вернуть активы, украденные при взломе Wormhole, выявила брешь в броне multi-sig. Эти сбои и скандалы по всей отрасли вызвали дебаты о хранении криптовалют и о том, какой вариант хранения кошелька обеспечивает наилучшее сочетание удобства использования и безопасности в децентрализованной системе.
Чтобы восстановить доверие к отрасли, необходимо внедрить надежные меры безопасности и повысить прозрачность сети для защиты цифровых активов и предотвращения мошеннических действий. Не было никакой дискриминации в потерях, понесенных в результате этих скандалов — последствия затронули все финансовые учреждения, большие и малые, от стартапов до розничных инвесторов. По мере развития криптографии безопасные многопартийные вычисления могут стать способом обеспечения универсального доступа к хранилищу институционального уровня для всех.
Что такое MPC и как он сравнивается с другими вариантами крипто-хранилища?
Проще говоря, MPC - это криптографический протокол, который позволяет выполнять вычисления несколькими сторонами, где ни одна отдельная сторона не может видеть данные других сторон. Закрытые ключи разделяются на сегменты и распределяются между доверенными сторонами, что позволяет им подписывать транзакции, не имея у кого-либо полного ключа. Это означает, что закрытый ключ никогда не будет доступен ни на одном устройстве в течение его жизненного цикла, даже когда он используется. Такой подход предотвращает единственную точку сбоя и гарантирует, что даже если некоторые стороны скомпрометированы, ключ остается в безопасности. Кроме того, MPC допускает вращение фрагментов ключей; если хакер украдет фрагмент ключа, он может стать бесполезным, просто вращая фрагменты.
Это делает MPC более безопасной альтернативой горячим кошелькам, где закрытый ключ хранится на устройстве пользователя и может быть скомпрометирован в случае взлома устройства. Аналогично, кошельки с холодным хранением могут быть более громоздкими для пользователей, где закрытый ключ хранится в автономном режиме, а устройство необходимо извлекать каждый раз для подписания транзакции. Аналогично, при использовании multi-sig каждая сторона хранит свой собственный закрытый ключ, и, очевидно, хакер может получить контроль, если будет украдено достаточное количество ключей.
" 
