撰文:MindWorks Capital
編譯:ChinaDeFi
2019 年 5 月,幣安的一個熱錢包被盜,價值 4100 萬美元的比特幣被盜。
2019 年 7 月,BITPOINT 熱錢包被黑,價值 3200 萬美元的數字資產被盜。
2020 年 9 月,KuCoin 熱錢包被盜,價值 2.75 億美元的加密貨幣被盜。
2022 年 3 月,DeFiance Capital 創始人 Arthur 的熱錢包被盜,160 萬美元被盜。
這只是加密領域黑客攻擊的冰山一角。大多數引人注目的黑客攻擊都有一個共同的特點:錢包 (主要是熱錢包) 的私鑰被泄露。安全是加密領域的一個熱門話題,由于我們負責保管自己的資金,因此為我們的數字資產選擇正確的安全解決方案是至關重要的。
我們都聽說過「非你的鑰匙,就不是你的幣」。當涉及到保管我們所有的幣時,私鑰是最重要的部分。
有三種類型的托管選擇:
自我保管 (熱錢包 / 冷錢包)
共同保管 (多重簽名)
第三方托管 (托管銀行)
自我保管的選項包括熱錢包和冷錢包,它們包含一組私鑰。熱錢包和冷錢包的區別在于熱錢包總是連接到互聯網,而冷錢包則不會。因此,熱錢包被攻擊的風險要比冷錢包高得多。
Beosin:Avalanche鏈上Platypus項目損失850萬美元攻擊事件解析:2月17日,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、 預警與阻斷平臺監測顯示,Avalanche鏈上的Platypus項目合約遭受閃電貸攻擊,Beosin安全團隊分析發現攻擊者首先通過閃電貸借出4400萬USDC之后調用Platypus Finance合約的deposit函數質押,該函數會為攻擊者鑄造等量的LP-USDC,隨后攻擊者再把所有LP-USDC質押進MasterPlatypusV4合約的4號池子當中,然后調用positionView函數利用_borrowLimitUSP函數計算出可借貸余額,_borrowLimitUSP函數會返回攻擊者在MasterPlatypusV4中質押物品的價值的百分比作為可借貸上限,利用該返回值通過borrow函數鑄造了大量USP(獲利點),由于攻擊者自身存在利用LP-USDC借貸的大量債務(USP),那么在正常邏輯下是不應該能提取出質押品的,但是MasterPlatypusV4合約的emergencyWithdraw函數檢查機制存在問題,僅檢測了用戶的借貸額是否超過該用戶的borrowLimitUSP(借貸上限)而沒有檢查用戶是否歸還債務的情況下,使攻擊者成功提取出了質押品(4400萬LP-USDC)。歸還4400萬USDC閃電貸后, 攻擊者還剩余41,794,533USP,隨后攻擊者將獲利的USP兌換為價值8,522,926美元的各類穩定幣。[2023/2/17 12:12:32]
多重簽名錢包是一種智能合約,其通過在執行前要求多個私鑰來簽署交易來提高安全性。在多重簽名中,資產的保管在受信任的各方之間共享,簽名者必須相信其他簽名者不會有惡意行為。
Cobo區塊鏈安全團隊公開0xDAO潛在盜幣漏洞發現過程及技術細節解析:4月2日消息,0xDAO v2原計劃上線前的幾個小時,Cobo區塊鏈安全團隊啟動對該項目的DaaS投前例行安全評估工作,隨后在github開源的項目代碼中發現了一個嚴重的安全漏洞。經評估,如果 0xDAO v2此時繼續上線,該漏洞預計會造成數億美金的資產損失。Cobo區塊鏈安全團隊立即啟動應急預案,快速通過多個渠道聯系到0xDAO項目方,提交該漏洞的完整攻擊流程,緊急叫停了項目上線,隨后協助0xDAO項目方對該漏洞進行了修復。
日前,0xDAO官方發布推文向Cobo區塊鏈安全團隊表示了感謝,并且表示會按照嚴重漏洞級別給予Cobo區塊鏈安全團隊漏洞賞金獎勵。[2022/4/2 14:00:31]
第三方托管通常是為對沖基金等機構提供存儲和管理私鑰的安全解決方案。它們通常結合多重簽名錢包、HSM 或多方計算 (MPC) 的解決方案。用戶必須相信托管人會保護私鑰,而且相信他們不會惡意使用我們的資金等。
任何人只要能訪問我們的私鑰,就能訪問我們的數字資產。我們中的許多人會把我們的私鑰寫在某個地方,或藏在某個地方,希望它不會被發現。但是,如果有一種技術可以在不泄露私鑰的情況下生成簽名呢?這會大大提高我們數字資產的安全性嗎?
分析 | USDT聽證會解析:瑞海君看幣觀點:一、預計聽證會圍繞的主題有如下兩個:
1.Bitfinex和Tether不顧美國法律和監管,為紐約州居民提供了相關服務。
2.Bitfinex和Tether之前在美國的業務,觸犯了美國的反洗錢法(這個才是對USDT具有巨大殺傷力的議題)。
二、?今晚可能達成的幾種結果:
1.BFX和Tether違規為美國居民提供服務罪名成立,會導致兩家共識會繼續被調查,且會被美國要求提供更多的運營資料,洗錢的事情沒結果,但是也要提交更多資料自正清白,這是利空!會導致USDT這個雷持續懸在整個幣圈的頭上,然后美國來一條新聞,幣圈震動一次,簡直就是噩夢。(概率中性)
行情影響:短暫反彈,然后繼續震蕩陰跌。
2.兩項罪名都沒結果,短暫利好,BFX繼續和美國扯皮,大家松一口氣暫時?,價格可能出現反彈。(可能性較大)
行情影響:短暫反彈,后市寬幅震蕩為主。
3.兩項罪名都成立,不可想像(可能性較小)!
行情影響:區塊鏈騙局。
洗錢罪名直接成立可能性也較小,調查沒那么快,所以請大家系好安全帶,等待靴子落地,兩只靴子到底如何落地,落地幾支,只有靜候今晚的聽證會了。[2019/7/29]
使用 MPC,私鑰會被共享、加密并分發給多方。這些各方將獨立計算他們持有的私鑰的一部分以生成簽名,而不會向其他方透露加密。由于整個私鑰不會在任何特定的時間停留在任何特定的設備上,因此 MPC 可以為私鑰提供額外的一層保護。
動態 | 基于共治鏈的共治根域名解析架構發布:據光明網消息,在日前由國家互聯網信息辦公室指導、中國互聯網絡信息中心(CNNIC)主辦的中國互聯網基礎資源大會上,中國互聯網絡信息中心主任曾宇發布了基于共治鏈的共治根域名解析架構。中國互聯網絡信息中心(CNNIC)作為我國國家頂級域名注冊管理機構,負責國家網絡基礎資源的運行管理和服務,從2016年開始,開展區塊鏈技術在域名領域應用的研究,驗證了運用區塊鏈技術進行域名數據管理的可行性。在此基礎上,聯合多家單位設計了基于共治鏈的共治根新型域名解析系統架構。[2019/7/3]
為了直觀地看到這一點,假設私鑰由以下部分組成。
we-are-all-gonna-make-it
使用 MPC 服務,私鑰將被分成 6 個不同的部分 (單詞)。每個部分將被存儲在不同的設備中。例如,「we」部分可以在你的 iPhone 上,而私鑰的「make」部分可以在你的 Windows 筆記本電腦上。
當不使用錢包時,私鑰將永遠不會在一起,因為它們存儲在不同的設備上。而且我們的私鑰被黑客攻擊的風險將大大降低,因為攻擊者將需要同時訪問 6 個設備。
MPC 認為自己是通過將私鑰分解為幾個部分來分散私鑰的第一個可用解決方案。因為他們確實會減少現有錢包的單點故障。
一些 MPC 提供商還可以在不改變私鑰的情況下,以定期、按需或組合的方式主動更新密鑰共享。也就是說,你的手機和電腦上共享的私鑰可以定期更改,進一步降低攻擊的風險。
前美聯儲理事Kevin Warsh:從美國經濟政策角度解析比特幣價格波動: 前美聯儲理事、斯坦福大學胡佛研究所杰出訪問學者Kevin Warsh今日撰文,從政府經濟政策角度解讀了比特幣價格波動的原因。對于2017年BTC價格的狂飆,Warsh認為:1.特朗普上臺后推出的減稅等寬松政策持續刺激美國經濟增長,繼而帶來的通貨膨脹預期促使美國加息進度超預期,比特幣成為規避法幣貶值的避風港;2.特朗普政府貿易保護政策致使美元在2017年貶值12%,投資者尋求比特幣規避貶值;3.據去年10月、11月調查,美國民眾對政府的信任度下降14個百分點達到33%,而美元正是建立在公眾對政府信任的基礎上。而對于今年以來比特幣價格的大幅波動,是因為投資者正在調整對政府政策的預期,新任美聯儲主席也在重新考慮如何更好地實施貨幣政策,同時也在考慮推出自己的加密貨幣。[2018/3/8]
在多重簽名中,每個簽名者的私鑰都有可能被泄露。對于 MPC,私鑰永遠不會被創建或保存在一個地方。因此,MPC 可以保護密鑰不被外部或內部人員泄露。
并不是所有的第一層都支持多重簽名智能合約錢包,而且那些已經支持的可能有非常多的不同。對于多重簽名提供商來說,支持新的鏈需要大量的時間和精力來部署,而 MPC 解決方案將能夠更快地支持它。
一旦錢包被創建,多重簽名規則集就會被固定。也就是說它不被允許擁有添加新密鑰、撤銷密鑰共享和修改密鑰閾值等靈活性。在 MPC 中,只要現有的私鑰股東同意新方法,規則集就可以被修改。因此,MPC 能夠隨著時間的推移在組織中擴展,這是其他解決方案無法做到的。
多重簽名上的每次簽名都需要一個單獨的交易,這就會導致費用很高。MPC 簽名是在鏈下計算的,因此鏈上的交易費用將與單個簽名錢包差不多。
由于 MPC 簽名是在鏈下計算的,組織可以公開地保留簽名條件的隱私,同時通過記錄誰為鏈下的每筆交易簽名來保持鏈下的責任。
如今,最大的托管機構大多使用多重錢包和冷錢包的組合來保護其管理下的數字資產。
Fireblocks 是第一個采用 MPC 技術的主要托管機構。雖然 MPC 是唯一沒有單點故障的選擇,但其他托管機構擔心,與傳統的公鑰加密相比,MPC 仍然是一種相對較新的技術,同行評審有限。
盡管如此,隨著機構尋求更安全的選擇來保護其數字資產,MPC 的需求正在不斷增加。2021 年 3 月,Paypal 以約 2 億美元的價格收購了 MPC 托管技術提供商 Curv。此外,作為全球最大的托管銀行的紐約梅隆銀行,對 Fireblocks 進行了戰略投資,以推出基于 Fireblocks 技術的數字資產托管服務。
然而,邁克?貝爾奇(BitGo 的首席執行官)稱,基于 MPC 的錢包的最大缺點是簽名責任制,因為當欺詐事件發生時,不可能回溯是哪個關鍵部分在哪個地理位置來簽署交易的。
2021 年 6 月,Fireblocks 和 Stakehound 發生了一起事故,Stakehound 丟失了與 Fireblocks 一起存儲而沒有備份的分片密鑰的一部分。結果,由于 Stakehound 無法再訪問錢包,因此損失了 38,178 ETH。這一事件表明,從內部員工到 MPC 云提供商,中心化的 MPC 基礎設施的托管服務提供商中仍然存在交易對手風險。
因此,托管機構正在優先考慮發展必要的風險控制手段,并且試圖利用各種保險方案,以應對與資產托管有關的挑戰。世界各地的監管機構也在對第三方托管機構提出許可制度和保險要求。知名的數字資產保險公司是 Lloyd’s of London 和 OneDegree。
為了進一步消除 1) 中心化 MPC 第三方托管解決方案中的對手風險,2) 上述聯合托管解決方案中討論的多重簽名問題,以及 3) 自我托管解決方案中的單點故障風險,我們看到新的初創公司試圖通過采用去中心化 MPC 技術來提供更好的托管解決方案。
Web3Auth,由 Torus 提供支持,籌集了 1300 萬美元的 A 輪融資,由紅杉領投。Web3Auth 具有 B2B2C 商業模式,為用戶提供創建錢包的能力。錢包使用分片私鑰并拆分為多個身份驗證因素,例如谷歌登錄、設備存儲、恢復密碼等。
Web3Auth 在設計時考慮了易用性,這種設置類似于 web2 世界中的設置。這使得用戶具有更高的轉化率,并降低了新手 web3 用戶丟失私鑰的風險。
需要三分之二的身份驗證因素,所以即使用戶碰巧失去了其中一個身份驗證因素的訪問權限,他們仍然可以訪問他們的錢包,并有能力將其資產轉移到新錢包中。
Entropy,最近獲得了由 a16z 領投的 2500 萬美元的種子輪融資。他們的目標是成為第一個真正的去中心化資產托管協議。此前,該公司已獲得 195 萬美元的種子前輪融資。
Entropy 的目標是「提供一個社區擁有和領導的去中心化網絡,利用先進的閾值密碼學和 MPC,使用戶能夠在任何區塊鏈上安全地存儲和使用他們的加密貨幣」。
由于 Entropy 希望開發一個真正無需信任的協議,因此他們的目標客戶應該是那些希望使用一種可能比多重簽名更安全的方法來保護其金庫的 DAO。
Qredo,自 2021 年以來,已經籌集了 1.2 億美元。Qredo 致力于建立他們的 MPC 解決方案已經有一段時間了,而且它是唯一與 MMI 集成的 MPC 解決方案。
Qredo 的目標客戶是機構投資者,但也可以是尋找安全的自我托管方式的散戶投資者。公司擁有 100 多家客戶,其中包括 Coinbase,GSR,Deribit。
Qredo 正在努力實現其 MPC 解決方案的完全去中心化。雖然 MPC 解決方案目前由其自己的中心化服務器進行驗證,但 Qredo 將在 2022 年下半年進行驗證者去中心化的過渡。
Dfns 籌集了 1350 萬美元的種子資金,由 White Star Capital 領投。Dfns 的目標是通過分片加密錢包密碼(稱為私鑰)并在對等網絡中分發這些片段來幫助公司保護數字資產。
Dfns 聘請了 BitGo 的首席信息安全官 (CISO) Samer Fayssal 博士,以加強合規驅動的安全。
數字資產托管經歷了許多演變,從只有熱錢包到現在的熱錢包、冷錢包、多重簽名等等的混合體。MPC 是托管方法的最新迭代,隨著技術變得更加成熟,我們將看到 MPC 可能會在鏈上和鏈下被采用。
展望未來,中心化第三方托管機構將不得不與監管機構合作,以獲得完全許可和保險,他們將在引導傳統金融機構向客戶提供數字資產方面發揮重要作用。例如,Fireblock 目前為全球前 70 家銀行中的 50% 提供咨詢服務,并正在與 5 家跨國銀行合作開發試點產品。
采用 MPC 也可能來自市場激勵措施。由于 MPC 比其他選擇更安全,MPC 提供商可以向他們的競爭對手收取安全溢價。此外,與其他安全選項相比,保險公司可能傾向于向 MPC 提供商提供更低的保費,從而鼓勵其他托管機構采用 MPC 作為降低保險成本的手段。
去中心化 MPC 托管解決方案,其目標就是通過使用分布在獨立節點上的不可變分類賬來取代中心化數據庫,從而進一步提高整體安全性。大多數行業參與者仍在努力實現漸進式去中心化,以便在早期階段保持對其節點的質量控制。此外,執行完全去中心化的托管解決方案仍面臨一些重大障礙,尤其是在獎勵激勵方面。
Alex 從大約 2015 年開始浸區塊鏈領域,也經歷了市場的大小起伏,對于新興的NFT賽道,他秉持著開放且謹慎的態度.
1900/1/1 0:00:00作者:華爾街見聞 作為網景(Netscape)、早期SaaS公司Opsware的創始人,馬克·安德森(Marc Andreessen)憑借敏銳的行業嗅覺被譽為“硅谷預言家”.
1900/1/1 0:00:00原文作者:Patrick McCorry 加密貨幣正在引領一場數據庫技術的范式轉移加密貨幣的基石就是數據庫。它記錄著所有用戶賬戶的余額、智能合約的代碼和狀態.
1900/1/1 0:00:00皮之不存,毛將焉附。 在加密熊市背景下,NFT 市場已經從「我們都會成功」變成了「我們都會死去」(we’re all gonna die).
1900/1/1 0:00:00市場普遍認知上最有價值、最有潛力的藍籌NFT在過去一周迅速下跌。近期,美聯儲接連加息,LUNA和Celsius相繼發生閃崩,監管與股市、證券市場關聯性等事件,導致了市場上各種資產的大幅波動.
1900/1/1 0:00:002022年2月,Magic Eden面臨危機。幾個月前,在啟動Solana這個快速增長的 NFT市場后,它當時正在處理一項嚴重事故:其平臺上第一個重大的跑路事件.
1900/1/1 0:00:00