" Разработчик Zengo Wallet использует необычный подход к предложению вознаграждения за обнаружение ошибок. Вместо того, чтобы предлагать хакерам платить за обнаружение уязвимостей, компания помещает 10 BTC (стоимостью более 430 000 долларов США по текущей цене) на счет, контролируемый разработчиками. Согласно объявлению от 7 января, любой хакеру, которому удастся украсть Биткоин, может оставить его себе.
Интерфейс Zengo Wallet.
Награда будет предлагаться в течение 15 дней, начиная с 9 января и до утра 24 января. 9 января будет раскрыт адрес учетной записи, и он будет содержать 1 BTC (приблизительно 43 000 долларов США). 14 января Zengo добавит на счет еще 4 BTC (172 000 долларов США) и предоставит один из «факторов безопасности», используемых для защиты учетной записи. 21 января команда добавит еще 5 BTC (215 000 долларов США), в результате чего общая сумма, хранящаяся в кошельке, составит 10 BTC (430 000 долларов США). В это время они также раскроют второй фактор безопасности. Всего кошелек использует три фактора безопасности.
После того, как будет выявлен второй фактор, у хакеров будет время до 16:00 UTC 24 января, чтобы взломать кошелек. Если кому-то удастся взломать кошелек за это время, ему будет разрешено оставить себе 10 BTC.
Zengo утверждает, что это кошелек «без уязвимости исходной фразы». Пользователям не предлагается копировать исходные слова при первом создании учетной записи, и в кошельке не сохраняется файл хранилища ключей.
Согласно официальному сайту, кошелек использует сеть многосторонних вычислений (MPC) для подписания транзакций. Вместо генерации закрытого ключа кошелек создает две отдельные «секретные папки». Первая доля хранится на мобильном устройстве пользователя, а вторая — в сети MPC.
Доля пользователя дополнительно подтверждается методом трехфакторной аутентификации (3FA). Чтобы восстановить свою долю, они должны иметь доступ к зашифрованному файлу резервной копии в своей учетной записи Google или Apple, а также к адресу электронной почты, который они использовали для создания учетной записи кошелька. Кроме того, они должны пройти сканирование лица на своем мобильном устройстве, что является третьим криптографическим фактором для восстановления их доли.
По словам Zengo, также существует метод резервного копирования части ключа в сети MPC. Команда утверждает, что предоставила «главный ключ дешифрования» сторонней юридической фирме. Если серверы сети MPC отключатся от сети, этой юридической фирме было поручено опубликовать ключ дешифрования в репозитории GitHub. Приложение автоматически перейдет в «режим восстановления», если ключ будет опубликован, что позволит пользователю восстановить долю сети MPC, соответствующую его учетной записи. Как только пользователь получит обе общие папки, он сможет сгенерировать традиционный закрытый ключ и импортировать его в приложение-кошелек конкурента, что позволит ему восстановить свою учетную запись.
Директор по маркетингу Zengo Элад Бляйстейн выразил надежду, что вознаграждение в сети поможет стимулировать дискуссии о технологии MPC в криптосообществе.
«Сложные термины, такие как MPC или TSS, могут быть чрезмерно абстрактными, — заявил Бляйстейн. — Конкурс Zengo Wallet Challenge подчеркнет преимущества безопасности кошельков MPC по сравнению с традиционными аппаратными альтернативами, и мы с нетерпением ждем оживленной дискуссии с теми, кто примет участие».
За последний год безопасность кошелька стала растущей проблемой в криптосообществе. Взлом Atomic Wallet привел к убыткам пользователей криптовалюты на сумму более 100 миллионов долларов. Позже разработчик учредил программу вознаграждения за обнаружение ошибок, чтобы обеспечить безопасность приложения в будущем. Пользователи библиотеки кошельков Libbitcoin Explorer также сообщили о потерях в размере $900 тыс от взломов в 2023 году.
