حتی در سال 2021 ، امنیت دارایی های دیجیتال همچنان یک مشکل در صنعت است

جامعه ارزهای رمزنگاری شده بسیار برای هک و حوادث امنیتی استفاده می شود. با این حال ، این بدان معنا نیست که این حوادث جای نگرانی ندارد.

ژوئن 2021 برای امنیت ماه بدی بود. دو رویداد امنیتی برجسته رخ داد. هر دو مشکلات کاملاً متفاوتی بودند اما در مجموع مبلغ تخمین زده شده از بلاک چین ها مشارکت دارند. این برآورد در حال حاضر 20.32 میلیارد دلار است. 

تا کنون ، بزرگترین این دو رسوایی Afrinrypt بود. این تخمین 3.6 میلیارد دلار خسارت برآورد شده است. این حادثه که تمام ویژگی های کلاهبرداری خروج را در خود دارد ، در ماه آوریل آغاز شد.

این زمانی بود که صرافی Afrinrypt هک کرد. با این حال ، دو برادر که آمریكا را اداره می كردند ، امیر و رییس كجی ، پس از فروش مقدار زیادی كالای لوکس در هفته های قبل ناپدید شدند. 

به طور خاص ، به نظر می رسد سیستم عامل های تجاری محلی خود را به این نوع بهره برداری وامی دارند. در آوریل ، مدیرعامل صرافی ارز رمزنگاری شده Thodex به همراه بیش از 2 میلیارد دلار وجوه مشتریان ناپدید شد.

ناگفته نماند مورد بدنام مبادله Quadriga CX کانادایی. در اوایل سال 2019 مشخص شد که بنیانگذار جرالد کوتن درگذشت و 145 میلیون دلار از سرمایه مشتریان را با خود به گور برد. این داستان هنوز در دست بررسی است. 

باز کردن بسته حادثه Fireblocks

در کنار Afrinrypt ، حادثه دیگری در ماه ژوئن رخ داد که کمی رسوا کننده بود. با این وجود ، برخی از درس های مهم در مورد امنیت کلید خصوصی را نشان می دهد که قابل توجه است. به ویژه برای موسسات و کسانی که برای دارایی های دیجیتالی خود به خدمات حمایتی تکیه می کنند. 

در اواخر ماه ژوئن مشخص شد که StakeHound ، یک شرکت رمزنگاری که درگیر سهام است ، علیه ارائه دهنده نگهبان Fireblocks شکایت کرده است. این شکایت ادعا می کند Fireblocks حدود 75 میلیون دلار اتریوم از دست داده است ، که مسئول آن بود. با این حال ، با عمق بیشتر ، کارهای بیشتری در زیر سطح در حال انجام است. 

Fireblocks به Forbes گفت که برای دو سرویس با StakeHound قرارداد بسته است. اولین مورد ، استاندارد نگهداری ارزهای رمزنگاری شده آن بود. مورد دیگر یک قرارداد یکجا بود که Fireblocks از StakeHound در نوشتن برنامه ای برای ایجاد امضا برای تأیید صحت یک قرارداد سهامداری پشتیبانی کرد.

StakeHound با استفاده از برنامه یک کلید ایجاد کرد و سپس از این کلید برای ارسال 38,178،2.0 ETH به قرارداد سهام Ethereum XNUMX استفاده کرد. 

اینجاست که به نظر می رسد همه چیز خراب شده است. Fireblocks بیان می کند که StakeHound می خواست نیمی از کلید خصوصی را برای اهداف امنیتی نگه دارد ، که با شفاهی موافقت کرد.

StakeHound سهم خود از کلید را به Coincover به عنوان پشتیبان ارسال کرد ، اما Fireblocks این کار را نکرد. از آنجا که این ترتیب یک بار بود و امضا بخشی از روشهای پشتیبان گیری معمول Fireblocks نبود. وقتی یکی از سیستم های شرکت خراب شد ، کلید را گم کرد. علاوه بر این ، هیچ نسخه پشتیبان وجود نداشت.

در حال حاضر ، StakeHound نمی تواند به هیچ یک از 38,178،XNUMX ETH قفل شده در قرارداد سهام دسترسی پیدا کند. علاوه بر این ، بودجه به احتمال زیاد برای همیشه از بین می رود.

HSM در مقابل MPC

به هیچ وجه نمی توان فهمید که چه کسی این دعوی را مطرح کرده و به کدام سمت خواهد رفت. برای ثبت ، باید به این نکته نیز اشاره کرد که Fireblocks اعلام کرده است که مشتریانش دلیلی برای نگرانی ندارند زیرا این حادثه خارج از روشهای معمول آن بوده است.

این شرکت همچنین گفته است که StakeHound هنوز از Fireblocks برای خدمات روزانه نگهداری از رمزنگاری استفاده می کند. با این حال ، ارزش بررسی حادثه را دارد. این یک نقص امنیتی اساسی در اتکا به محاسبات چند حزبی یا کیف پول های چند امضا برای امنیت را برجسته می کند. 

در این مرحله از تکامل امنیت دارایی های دیجیتالی ، کیف پول های چند امضایی امنیت نسبتاً ضعیفی را ارائه می دهند. پس از همه ، هیچ راهی وجود ندارد که بدانید چه کسی به کلیدهای خصوصی دسترسی دارد ، بدین معنا که آنها به طور ذاتی از کیف پول تک امضا امن تر نیستند. 

در حال حاضر ، سرپرستان از دو شکل اصلی امنیت برای محافظت از کلیدهای خصوصی و بنابراین دارایی های دیجیتالی استفاده می کنند. آنها ماژول های امنیتی سخت افزاری یا HSM و محاسبه چند حزبی یا MPC هستند.

HSM ها دستگاه های سخت افزاری فیزیکی هستند که با چندین استاندارد شناخته شده در سطح جهانی برای تأیید ایجاد و ذخیره سازی امن کلیدهای خصوصی مطابقت دارند. HSM ها در بخش های عمومی و خصوصی مورد استفاده قرار می گیرند. این شامل موارد استفاده نظامی و بانکی است. 

MPC شامل تقسیم کلید خصوصی به قطعات و ذخیره هر قسمت به طور جداگانه در دستگاه های مختلف یا سرورهای ذخیره سازی ابری است ، همانطور که StakeHound و Fireblocks موافقت کردند. ایده این است که در صورت نقض هکر ، مهاجم به اطلاعات کافی برای جمع آوری کل کلید خصوصی دسترسی ندارد. 

یک راه حل پشتیبان ثابت شده

تفاوت اساسی بین این دو این است که HSM ها مکانیزم های پشتیبان گیری از کلیدها را تضمین می کنند که اطمینان می دهد کاربران هرگز دسترسی به منابع خود را از دست نمی دهند.

به طور معمول ، کاربران HSM مجهز به کارت های پشتیبان فیزیکی هستند که به طور ایمن در چندین مکان ذخیره می شوند. کاربران می توانند کارت های پشتیبان را برای بازیابی کلید پشتیبان تولید شده در هر بار درخواست کلید جدید ، مستقر کنند. 

راه حل های MPC هیچ مکانیزمی برای ایجاد کلیدهای پشتیبان ندارند. علاوه بر این ، ایجاد پشتیبان از کلیدهای MPC به طور ذاتی بسیار پیچیده است. این به این دلیل است که این فرآیند شامل چندین طرف است. به همین دلیل ، نگرانی هایی در مورد قابلیت استفاده از هر راه حل پشتیبان وجود دارد. 

تا کنون در تکامل امنیت ارزهای رمزنگاری شده ، HSM ها ثابت کرده اند که تنها راهی است که سازمان ها می توانند به طور ایمن از کلیدهای خصوصی خود پشتیبان گیری کنند. این اطمینان می دهد که در صورت ضرر ، آنها همچنان می توانند به ارزهای رمزنگاری شده خود دسترسی داشته باشند.

از این نظر ، آنها قوی ترین شکل امنیت در برابر حملات هستند. در عین حال ، MPC همچنان شاخه جدیدی از رمزنگاری است. این نوید قابل توجهی را در زمینه امنیت سایبری ارائه می دهد. همچنین با استفاده از روش های آزمایش شده و اثبات شده ، امنیت بیشتری را برای کاربران فراهم می کند تا وجوه خود را در برابر مهاجمان حفظ کنند. 

سلب مسئولیت


تمام اطلاعات موجود در وب سایت ما با حسن نیت و فقط برای اهداف عمومی منتشر می شود. هر اقدامی که خواننده نسبت به اطلاعات موجود در وب سایت ما انجام می دهد ، کاملاً به خطر خود آنها است.

منبع: https://beincrypto.com/even-in-2021-digital-asset-security-remains-an-industry-wide-problem/


ویدیو یوتیوب