Kryptohacks og Sikkerhet
Ofre for kryptohacks finner seg ofte utsatt for nye overgrep fra useriøse gjenopprettingsfirmaer, sier Harry Donnelly, administrerende direktør i Circuit. Kryptoadopsjonen øker, og et stadig større antall mennesker blir med. Imidlertid, til tross for år med innovasjon, svikter kryptovaluta fortsatt noen av sine mest sårbare brukere. I en nylig hendelse mistet en amerikansk pensjonist 3 millioner dollar i XRP etter å ha kompromittert sin kalde lommebok uten å vite det. Hendelsen viser at sikkerhet fortsatt er det største problemet innen kryptovaluta.
Intervju med Harry Donnelly
Crypto.news snakket med Harry Donnelly om hvorfor økosystemet har tapt over 3 milliarder dollar til hacks bare i år, og hvorfor gjenoppretting vanligvis er svært vanskelig.
Crypto.news: Vi har sett en nylig sikkerhetshendelse der en lommebokinnehaver mistet livsbesparelsene sine i et hack. Hva forteller dette oss om sikkerheten til kryptovaluta?
Harry Donnelly: Dette er XRP-lommebokhendelsen: en angivelig amerikansk pensjonist mistet omtrent 3 millioner dollar i XRP, pensjonssparingen sin. ZacXBT postet om det på Twitter. Offeret sa at de prøvde å anmelde til politiet, men ikke klarte å komme i kontakt med rettshåndhevelsen. Midlene ble deretter hvitvasket gjennom omtrent 120 transaksjoner. Vi har ikke full bekreftelse på den nøyaktige vektoren fordi offeret ikke er kryptokyndig; uten tilgang til sin bærbare datamaskin for å spore trinnene, er det vanskelig å være sikker. Men saker som dette involverer ofte malware som skanner en enhet for frøfraser og andre hemmeligheter. I dette tilfellet trodde personen at de hadde en kald lommebok — kjøpt fra Ellipal — men de importerte frøfrasen til sin bærbare datamaskin. Det motvirker kald lagring: når frøfrasen eksisterer på en internett-tilkoblet maskin, er beskyttelsen fra maskinvarelommeboken effektivt borte.
CN: ZacXBT sa at mange gjenopprettingsfirmaer er tvilsomme. Hva er ditt syn?
HD: Helt rett. Når folk er desperate, vil dårlige aktører utnytte dem. De verste aktørene optimaliserer ofte sidene sine for søkemotorer slik at de vises først når noen desperat søker etter «gjenopprett stjålet kryptovaluta.» Legit gjenoppretting er vanskelig. Kryptovaluta er en bæreraktiv: besittelse av nøkkelen tilsvarer eierskap. Du kan ikke ringe en bank og reversere en on-chain-overføring. Legitime gjenopprettingsfirmaer er vanligvis lovlige virksomheter som jobber med rettshåndhevelse, bruker blockchain-forensiske verktøy som Chainalysis eller TRM Labs, sporer midlene og prøver å få børser til å fryse kontoer med juridiske varsler. Men det fungerer bare hvis midlene havner på en KYC-børs som er villig og i stand til å samarbeide, og hvis jurisdiksjonen er samarbeidsvillig. Angripere ruter ofte midler til ikke-samarbeidende børser eller blandetjenester; i fjor ble under 5 % av eiendelene gjenopprettet med disse metodene. Predatory firmaer vil ta noe som 10 000 dollar i store gebyrer for grunnleggende skanninger og produsere en rapport som gir ofrene falsk informasjon. For eksempel forteller de dem å sende e-post til Tornado Cash, som er nytteløst.
Forebygging av Tap
CN: Så det ser ut som gjenoppretting er et langskudd. Hva er alternativet?
HD: Fordi gjenopprettingsmulighetene er lave, er forebygging avgjørende. Circuit fokuserer på å forhindre tap i stedet for å stole på gjenoppretting etter et hack. Når midler forlater en lommebok, er sjansene for gjenoppretting små; å stoppe tyveri før det skjer har en mye høyere suksessrate. Det er to tapmoduser: (1) du mister tilgang til din private nøkkel (midlene er utilgjengelige) eller (2) noen andre får tak i din private nøkkel (midlene blir stjålet). Circuit adresserer begge ved å beskytte eiendelene direkte i stedet for kun å beskytte nøkkelen. Vi bygger det vi kaller automatisk eiendelutvinning. I stedet for bare å beskytte en privat nøkkel, oppretter vi forhånds-signerte transaksjoner som flytter midler til en forhåndsdefinert backup-lommebok. Disse transaksjonene opprettes på forhånd, krypteres og lagres — aldri sendt ut med mindre den legitime brukeren utløser dem.
CN: Så, hvem kontrollerer den store røde knappen?
HD: Brukeren kontrollerer den. De går inn i vår nettapp, verifiserer identiteten sin ved hjelp av 2FA, og trykker på knappen. Det dekrypterer og sender transaksjonen, og midlene flyttes til backup-lommeboken. Vi lagrer den forhånds-signerte transaksjonen, kryptert, men brukeren er den eneste som kan dekryptere og utløse den. De definerer destinasjonsadressen på forhånd, og vi kan ikke endre den adressen. Når den er signert, er den låst. Vårt system holder den bare sikkert og lar brukeren utløse den når det er nødvendig.
Brukere og Backup-lommebøker
CN: Hvem bruker denne tjenesten for øyeblikket?
HD: Akkurat nå er det alle institusjoner og bedrifter. Vi betjener ikke detaljbrukere ennå. Våre partnere er børser, eiendomsforvaltere og OTC-bord. Dette er folk som forvalter store beløp og klientmidler. For dem kan nedetid eller tap av tilgang være katastrofalt. Et eksempel er Shift Markets. Vi distribuerer teknologien vår på 150 børser som de jobber med. Disse børsene har ikke råd til å miste tilgang til midler, selv ikke i noen timer. For institusjoner handler det ikke bare om å forhindre tyveri. Noen ganger mister noen en signeringsenhet, eller en tjeneste som Fireblocks går ned. Det kan stoppe alle operasjoner — ingen innskudd, ingen uttak. Med Circuit kan de gjenopprette innen minutter i stedet for å være nede i flere dager. Og for dem kan det bety å redde omdømmet deres — og millioner i kundelojalitet.
CN: Og hvordan velger brukere backup-lommebøkene sine? Bør det være en annen maskinvarelommebok, en børs-konto eller en forvalter?
HD: Flott spørsmål. Vi anbefaler at backup-lommeboken er like sikker som den primære. Så det betyr å bruke forskjellige lommebokleverandører, lagre nøkler på forskjellige steder, og sørge for at infrastrukturen ikke er plassert sammen. Du vil ikke ha begge sett med nøkler i samme hvelv eller server. Også, vi håndhever kvorum-godkjenninger — 4-øyne eller 6-øyne policyer — for å unngå noe enkeltpunkt for svikt. De fleste store institusjoner opererer allerede på denne måten. Noen bruker forskjellige MPC- eller multisig-oppsett for primære og backup-lommebøker. Andre bruker forskjellige sikre fasiliteter eller til og med forskjellige jurisdiksjoner. Ideen er: hvis katastrofen rammer ett system, er det andre upåvirket. Vi jobber også med store forsikringsselskaper, og de anerkjenner dette som en risikoreduksjon. Mange kryptoforsikringskrav gjelder tapt tilgang eller stjålne midler. Ved å legge til Circuits teknologi blir firmaer en lavere risiko. Så forsikringsleverandører tilbyr rabatter til kunder som bruker oss. Det gjør forsikring mer tilgjengelig og, i sin tur, bringer mer institusjonelt kapital inn i kryptovaluta.
Fremtidige Utfordringer og Muligheter
CN: Har du faktisk hatt noen tilfeller der noen måtte bruke den røde knappen?
HD: Ja, vi har brukt den røde knappen, både i virkelige tilfeller og i kontrollerte tester. Vi har til og med bevisst gitt tilgang til angripere i hvit-hatt eller simuleringsmiljøer for å prøve å stjele midlene. Hver gang har det holdt. Vårt ingeniørteam har jobbet hardt for å sikre at vi har dekket kanttilfeller og virkelige trusler. Vi jobber med noen av de største aktørene i bransjen som har testet det uavhengig. Vi vil ha en offentlig kunngjøring i løpet av den neste måneden eller to som viser noen av disse valideringene.
CN: Og for institusjoner, hva er det typiske feilscenarioet?
HD: Det avhenger av deres lommebokoppsett. Hvis de bruker ikke-forvaltningsmessige tjenester som Fireblocks, bærer institusjonen noe ansvar — de må kunne få tilgang til lommebøkene sine selv om Fireblocks er nede eller utilgjengelig. Hvis de bruker fullt forvaltningsmessige løsninger som Coinbase eller Anchorage, håndterer disse leverandørene alt fra ende til ende. Men med Fireblocks må du fortsatt ha din egen sikre tilgang til nøkkeldelene eller signeringsenhetene. Så forestill deg en børs som er avhengig av Fireblocks, og de mister en enhet — kanskje noens telefon eller YubiKey. Det kan midlertidig låse dem ute, og stoppe uttak og innskudd.
CN: Du nevnte tidligere at angripere blir mer sofistikerte. Hva er ditt perspektiv på hvordan kryptovalutaindustrien tilpasser seg det? Hva endrer seg innen sikkerhet?
HD: Det er likt Web2-sikkerhet; det er et katt-og-mus-spill. Nye angrep dukker opp, vi bygger forsvar, angriperne utvikler seg igjen, og så videre. Tidlig var det store gjennombruddet multisig, som krevde flere nøkler for å godkjenne transaksjoner. Så kom MPC-lommebøker (multi-party computation), som forbedrer multisig. I et multisig-oppsett gir kompromittering av to av tre nøkler deg delvis informasjon om den tredje. I MPC er det ikke tilfelle, da hver del ikke gir deg informasjon om helheten, noe som gjør det mer motstandsdyktig. Selskaper som Fireblocks har hatt stor suksess med MPC. Så kom policy-motorer — regler som blokkerer transaksjoner under visse forhold. For eksempel: «blokker alle overføringer over 1 million dollar,» eller «tillat ikke overføringer til ikke-hvite adresser.» Så kom det oppdagelsesverktøy, som er tjenester som overvåker kjedeaktivitet og flagger mistenkelig atferd. Men i dag krever de fleste av disse fortsatt at en menneskelig aktør reagerer på varslingen. I noen oppsett kan det være nødvendig med godkjenninger fra folk i USA, Europa og Asia, noe som kan ta timer. I mellomtiden skjer angrep på minutter eller til og med sekunder. Vi så dette i SwissBorg/Kiln-hacket: 41 millioner dollar borte på tre minutter. Mennesker reagerer ganske enkelt ikke så raskt.
CN: Når sentraliserte børser fryser stjålne midler, forstår folk vanligvis det. Men når DeFi-protokoller fryser lommebøker eller pauser smarte kontrakter, er det ofte kritikk av sentralisering. Hva er ditt syn på det?
HD: Se, til syvende og sist, jeg tror at hvis du kan forhindre at titalls eller hundrevis av millioner dollar blir stjålet, og det som kreves er å stenge en smart kontrakt i noen timer, så mener jeg at du bør gjøre det. Jeg vet at det er veldig store tilhengere av desentralisering, men desentralisering vil ikke slå rot hvis folk ikke adopterer det. Og folk vil ikke adoptere det hvis de mister alle midlene sine. I bunn og grunn tror jeg det er så enkelt som det. Hvis du virkelig tror på dette og ønsker at det skal bli adoptert av mainstream — av faktiske bedrifter, faktiske institusjoner — må de ha tillit til det. Og for alle tilhengerne som sier «bare la det bli hacket,» eller «kode er lov,» tror jeg problemet er at det fundamentalt vil stoppe veksten av rommet så mye som vi ønsker at det skal vokse. Og jeg tror det er to områder du kommer til å se. Du vil ha puljer og protokoller som bare vil fortsette å gjøre ting som de er — bare la ting gå. Og så vil du ha mer institusjonsfokuserte og bedriftsfokuserte infrastrukturer, hvor de har sikkerhetsforanstaltninger, hvor de har failsafes, og hvor det er forsikring innebygd i puljene. Det skjer allerede. Og det er i disse puljene at du kommer til å se mye mer likviditet bli innskutt, fordi det er der den virkelige kapitalen — institusjonene — føler seg trygge på å sette inn midlene sine. Og når du tenker på hva det største nettverkseffekten i DeFi er, handler mye av det om likviditet. Så hvis du ser på hvor mye likviditet som skal gå, over tid bør det skifte mot de stedene som har failsafes og kontroller på plass — fordi det gir folk mer tillit.
CN: Men noen kan si, hvis en protokoll har muligheten til å fryse lommebøker eller pause smarte kontrakter, har de ikke også muligheten til å tømme puljen? Hva er ditt syn på det?
HD: Ja, og jeg tror det er et rettferdig poeng. Hvis noen har muligheten til å pause det og sette sikkerhetsforanstaltninger på plass, betyr det også at de kan gjøre hva de vil med midlene? Jeg tror skjønnheten med smarte kontrakter — hvis du gjør dem riktig — er at de er uforanderlige og transparente. Du kan definere strenge parametere på forhånd. Du kan hardkode reglene: når blir dette pauset, hvorfor blir det pauset, og hva skjer med midlene etterpå? Blir de flyttet? Hvis ja, hvor? Kan de bare flyttes til et spesifikt sted? Etter pausen, blir de returnert? Alt dette kan kodes. Det trenger ikke å være skjønnsmessig. Så ja, hvis du gir folk full kontroll til å gjøre hva de vil, er ikke det bra. Folk vil ikke ønske å sette inn midler i de protokollene. Men hvis det er strengt definerte parametere for hva som er mulig — og en del av det inkluderer å fryse eller pause i tilfelle av en nødsituasjon — så gir det faktisk folk mer tillit. Fordi selv de største protokollene — som Euler, som hadde en enorm TVL — ble hacket. Og de hadde gått gjennom flere revisjoner, kodegjennomganger, hele greia. Men det var fortsatt en liten sårbarhet som noen klarte å utnytte. Vi blir bedre til å oppdage disse tingene, men nye problemer vil alltid dukke opp. Og som du sa, det er et katt-og-mus-spill. Du bygger et forsvar, så finner noen et nytt angrep. Så bygger du et nytt forsvar, og så videre.
Kryptoforsikring og Fremtiden
CN: Er det noe du har tenkt på i det siste som du mener bransjen overser?
HD: En av tingene vi bruker mye tid på internt er å prøve å gjøre kryptoforsikring faktisk tilgjengelig — fordi når du går tilbake til det vi har snakket om, ikke sant? Det vil alltid være nye angrep, og så vil folk bygge nye forsvar. Men noe må fylle det gapet i mellomtiden. Jeg tror DeFi-forsikring — som det Nexus Mutual prøvde å gjøre — har ikke virkelig skalert slik folk håpet. Og en stor del av det er fordi for å tilby meningsfull forsikring, trenger du enorme kapitalpuljer bak det. Det er bare slik forsikring fungerer. Den tradisjonelle forsikringsverdenen har allerede milliarder av dollar som sitter i reserver. De vet hvordan de skal vurdere risiko. Hvis vi kan bringe disse aktørene inn i kryptovalutaområdet — og gi dem tillit til hvordan risikoene blir redusert — så låser vi opp noe virkelig stort. Fordi sannheten er, hvis vi ønsker at store banker eller seriøse finansinstitusjoner skal involvere seg i DeFi og on-chain-finans, trenger de forsikring. Punktum. Så hvis vi kan muliggjøre det — hvis vi kan gi tradisjonelle forsikringsselskaper verktøyene og dataene de trenger for å prissette risiko og faktisk tilby dekning — så har du plutselig mye mer kapital som er komfortabel med å komme inn i rommet. Og når det skjer, vokser alt. Protokollene vokser, infrastrukturen modnes, brukerne drar nytte av det. Så ja — jeg tror å låse opp ekte kryptoforsikring er en av de viktigste tingene vi kan gjøre akkurat nå.
