آیا کیف پول های کریپتو می توانند هم در دسترس باشند و هم ضد هکرها؟

مشروح:

موج اخیر هک‌ها، ورشکستگی‌ها و عبارات اولیه گمشده باعث ایجاد طیفی از برنامه‌های کیف پول رمزنگاری برای ذخیره امن کلیدهای خصوصی مرتبط با ارزهای دیجیتال شده است. از آنجایی که کاربران به دنبال حفظ کنترل کامل و مالکیت دارایی های دیجیتال خود هستند، بسیاری از مانترای خودسرپرستی را پذیرفته اند - امنیت را با زیرساخت امنیتی کیف پول بدون مجوز در دستان خود می گیرند.

اما این با مجموعه‌ای از چالش‌ها همراه است، از جمله پیچیدگی مدیریت کلیدهای خصوصی و احتمال از دست دادن یا سرقت که بسیاری از کاربران را برای پذیرش کامل این رویکرد مردد کرده است. متأسفانه این نگرانی ها بی اساس نیست. علاوه بر این، گزینه‌های مختلف ذخیره‌سازی موجود، مانند کیف پول‌های ارزهای دیجیتال سرد و گرم، و همچنین تکنیک‌های امنیتی پیشرفته‌ای مانند آن‌هایی که توسط کیف پول‌های چند امضایی ارائه می‌شوند، می‌تواند برای کاربران طاقت‌فرسا باشد. ترکیب این چالش‌ها، افزایش هشداردهنده حملات و سوء استفاده‌ها در سال گذشته است که امنیت دارایی‌های دیجیتال کاربران را به خطر انداخته است.

آنچه که به عنوان هک رونین شناخته می شود به ویژه قابل توجه است. در مارس 2022، گروه لازاروس مرتبط با کره شمالی با موفقیت شبکه Ronin، یک پلتفرم کلیدی که بازی محبوب موبایل Web3 Axie Infinity را تامین می‌کند، هک کرد و بیش از 600 میلیون دلار ETH و USDC را به سرقت برد. این اکسپلویت قابل توجه بود – یکی از بزرگترین ها در بخش مالی غیرمتمرکز بود اما برای بیش از یک هفته کشف نشد. در ماه قبل، یک هکر 320 میلیون دلار از پل Wormhole بین Solana و Ethereum سرقت کرد. در هر دو مورد، مهاجمان توانستند با سرقت کلیدهای کافی، کیف پول چند سیگ را به خطر بیاندازند.

در پی این سوء استفاده‌ها، محاسبات چند جانبه ایمن (MPC) به عنوان روشی امیدوارکننده برای ایجاد تعادل بین دسترسی و امنیت در ذخیره‌سازی کلیدهای خصوصی در حال ظهور است.

MPC چیست و چگونه با سایر گزینه های ذخیره سازی رمزنگاری مقایسه می شود؟

به زبان ساده، MPC یک پروتکل رمزنگاری است که محاسبات را در چندین طرف امکان‌پذیر می‌کند، جایی که هیچ یک از طرفین نمی‌توانند داده‌های طرف‌های دیگر را ببینند. کلیدهای خصوصی به تکه‌هایی تقسیم می‌شوند و بین اشخاص مورد اعتماد توزیع می‌شوند و به آن‌ها اجازه می‌دهند بدون داشتن کل کلید، تراکنش‌ها را امضا کنند. این بدان معنی است که کلید خصوصی هرگز در طول چرخه عمر خود روی یک دستگاه در دسترس نیست، حتی زمانی که از آن استفاده می شود. این رویکرد از یک نقطه شکست جلوگیری می کند و تضمین می کند که حتی اگر برخی از طرفین به خطر بیفتند، کلید امن باقی می ماند. علاوه بر این، MPC امکان چرخش قطعه کلید را فراهم می کند. اگر یک هکر یک خرده کلید را بدزدد، می‌توان آن را با چرخاندن خرده‌ها بی‌استفاده کرد.

این امر MPC را جایگزین ایمن‌تری برای کیف‌پول‌های داغ می‌کند، جایی که کلید خصوصی در دستگاه کاربر ذخیره می‌شود و در صورت هک شدن دستگاه می‌تواند به خطر بیفتد. به همین ترتیب، کیف پول‌های ذخیره‌سازی سرد می‌توانند برای کاربران سخت‌تر باشند، جایی که کلید خصوصی به صورت آفلاین ذخیره می‌شود و دستگاه باید هر بار برای امضای تراکنش بازیابی شود. به طور مشابه، با Multi-Sig، هر یک از طرفین کلید خصوصی خود را نگه می دارد و، بدیهی است، اگر تعداد زیادی از کلیدها به سرقت رفته باشد، یک هکر می تواند کنترل را به دست آورد.

هکرها به طور مداوم به دنبال راه های جدیدی برای دستکاری آسیب پذیری ها در نرم افزار کیف پول امنیتی هستند. چیزی که نگران کننده است این است که هکرها می توانند اعضای حد نصاب را از کیف پول چند علامتی "ردیابی و ردیابی کنند" و به آنها نشان دهند که کاربران در حال امضای چند علامت هستند (معمولاً از کیف پول داغ خود استفاده می کنند). علاوه بر این، آنها می توانند کاربر را بر اساس کیف پول داغ درگیر شناسایی کرده و یک حمله فیشینگ انجام دهند. و حتی اگر نتوانند کاربر را شناسایی کنند، همچنان می‌توانند کیف پول را شناسایی کرده و راه‌های دیگری برای به خطر انداختن آن بیابند. این پیشرفت‌ها در نقض‌های امنیتی پیچیده باعث افزایش و توسعه امنیت کیف پول MPC در جلوگیری از چنین حملاتی شده است.

MPC از نظر عملیاتی انعطاف‌پذیر و انعطاف‌پذیر است، اصلاحات و نگهداری مداوم طرح امضا را امکان‌پذیر می‌کند و می‌تواند بدون اطلاع زنجیره بلوکی مورد استفاده قرار گیرد. نیازی به چندین امضا در زنجیره نیست، ارائه حریم خصوصی در مورد تراکنش ها و مدیریت کلید، و مهمتر از همه، حفظ ناشناس بودن ساختاری با مخفی نگه داشتن ساختار حد نصاب. با این حال، در حالی که MPC پاسخگویی امضا را حذف می‌کند، همچنان به سازمان اجازه می‌دهد تا بدون به خطر انداختن امنیت آن، شناسایی کند که کدام طرف‌ها در امضای تراکنش شرکت کرده‌اند.

رفع معاوضه گرم و سرد

در یک سیستم غیرمتمرکز، MPC هم قابلیت استفاده و هم امنیت را ارائه می‌کند - اما همه کیف‌پول‌های MPC به یک شکل ساخته نمی‌شوند. هیچ کمبودی در مکانیسم‌ها برای زیر قفل نگه‌داشتن دارایی‌های دیجیتال وجود ندارد، و راه‌حل‌های بیشتری، از جمله پیشنهادات مبتنی بر MPC، هر روز در دسترس قرار می‌گیرد، به‌ویژه پس از انفجار تاریخی FTX و پیامدهای گسترده‌تر صنعت. برخی از این پیشنهادات نگهداری بیشتر از سایرین با پیاده‌سازی MPC قوی‌تر و آزمایش‌شده‌تر برای مهار آسیب‌پذیری‌های امنیتی تثبیت شده‌اند.

بازیگران و کاربران صنعت باید هنگام در نظر گرفتن محصولات ذخیره سازی جدید به بازار احتیاط کنند. یکی از عوامل کلیدی که باید در نظر گرفت جزئیات فنی اجرای MPC است. پروتکل های مختلف ممکن است سطوح مختلفی از امنیت، کارایی و سهولت استفاده داشته باشند، و درک مبادلات مربوط به انتخاب یکی از دیگری مهم است. علاوه بر این، برای اطمینان از امنیت مطلوب، پارامترها باید به درستی انتخاب و پیکربندی شوند.

بازیابی اعتماد در میان نقض‌های امنیتی

مدیریت کلید ایمن موضوعی است که پذیرش گسترده فناوری ارزهای دیجیتال و بلاک چین را متوقف کرده است. این خبر مبنی بر اینکه پلتفرم وام دهی DeFi Oasis نرم افزار کیف پول چند امضایی خود را برای بازپس گیری دارایی های دزدیده شده در هک Wormhole دستکاری کرده است، شکافی در زره multi-sig آشکار کرده است. این شکست‌ها و رسوایی‌ها در سراسر صنعت، بحث‌هایی را در مورد نگهبانی کریپتوها و اینکه کدام گزینه ذخیره‌سازی کیف پول بهترین ترکیب از قابلیت استفاده و امنیت را در یک سیستم غیرمتمرکز ارائه می‌دهد، به راه انداخته است.

برای به دست آوردن مجدد اعتماد در صنعت، لازم است تدابیر امنیتی قوی اجرا شود و شفافیت بیشتر در زنجیره برای حفاظت از دارایی های دیجیتال و جلوگیری از فعالیت های تقلبی صورت گیرد. هیچ تبعیضی در ضرر و زیان ناشی از این رسوایی ها وجود نداشته است - تأثیرات آن در مؤسسات مالی بزرگ و کوچک و از شرکت های نوپا گرفته تا سرمایه گذاران خرد موج می زند. همانطور که رمزنگاری در حال پیشرفت است، محاسبات چند جانبه ایمن ممکن است به عنوان راهی برای دسترسی همگانی به حضانت درجه سازمانی برای همه ظاهر شود.