การวิจัย Cregis: หลังจากที่ Mixin ถูกขโมยไป การดูแล crypto จะไปไหน?

特邀专栏作者

2023-10-20 14:46

บทความนี้มีประมาณ 2717 คำ การอ่านทั้งหมดใช้เวลาประมาณ 4 นาที

วิธีการดูแลสินทรัพย์ Web3.0 ควรพัฒนาไปสู่โมเดลที่ชาญฉลาด ปลอดภัย และการจัดการด้วยตนเอง

การตรวจสอบก่อนหน้านี้: Mixin เป็นเครือข่ายการจัดการสินทรัพย์แบบกระจายอำนาจที่เรียกว่า ซึ่งรับประกันความปลอดภัยของสินทรัพย์ผ่านการเข้ารหัสการแบ่งส่วนคีย์ส่วนตัว เนื่องจากความสัมพันธ์ระหว่างผู้ก่อตั้งและรายละเอียดทางเทคนิค Mixin ทำให้เกิดการพูดคุยกันมากมายเกี่ยวกับความปลอดภัยและการปฏิบัติตามข้อกำหนดเมื่อเปิดตัว
Mixin ออกแถลงการณ์อย่างเป็นทางการเมื่อเวลา 10.50 น. ของวันที่ 25 กันยายน 2023 ฐานข้อมูลผู้ให้บริการคลาวด์ของ Mixin Network ถูกแฮ็กในเช้าตรู่ของวันที่ 23 กันยายน 2023 ส่งผลให้ทรัพย์สินบางส่วนบนเครือข่ายหลักสูญหาย จากการสอบสวนเบื้องต้นของ Google และ SlowMist เงินทุนที่เกี่ยวข้องมีมูลค่าประมาณ 200 ล้านดอลลาร์สหรัฐ

ท่ามกลางเสียงเชียร์และความคาดหวัง ในที่สุด BTC ก็ทะลุระดับ 30,000 ดอลลาร์สหรัฐโดยอาศัยข่าวสปอต ETF อย่างไรก็ตาม หากเพื่อนในแวดวงสกุลเงินต้องการบรรลุอิสรภาพทางการเงินนอกเหนือจากการติดตามแนวโน้มของตลาดแล้วพวกเขายังต้องปกป้องทรัพย์สินของตนเองด้วย ไม่เช่นนั้น แม้ว่า BTC จะไปสู่ดวงจันทร์ ! นอกจากนี้ยังเป็นการเสียความพยายาม Cregis สรุปเหตุการณ์การโจรกรรมของ Mixin ที่ทำให้ทุกคนเกิดความโกลาหลเมื่อครึ่งเดือนที่แล้ว โดยหวังว่าจะช่วยให้ทุกคนปกป้องทรัพย์สินดิจิทัลของตนได้ดีขึ้นในตลาดกระทิงครั้งต่อไป!

(อย่างเป็นทางการของ Mixin X ปล่อยข่าวที่ถูกขโมย)

Changpeng Zhao ซีอีโอ Binance แสดงความคิดเห็นทันทีว่า MiXin เครือข่ายเพียร์ทูเพียร์แบบกระจายอำนาจ มี ฐานข้อมูล โดยบอกว่าเขาไม่เข้าใจมัน และเชื่อว่า ไม่ใช่ทุกสิ่งที่อ้างว่ามีการกระจายอำนาจเท่านั้นที่จะกระจายอำนาจ

(CZ ตั้งคำถามถึงระดับการกระจายอำนาจของ Mixin บน X)

แล้วทำไมสิ่งที่เรียกว่าเครือข่ายกระจายอำนาจถึงถูกโจมตีโดยแฮกเกอร์ได้สำเร็จ และทรัพย์สินของผู้ใช้ถูกขโมยไปได้อย่างไร?

เพื่อให้ทุกคนเข้าใจข้อมูลเชิงลึก Cregis Reseach ได้รวบรวมข้อมูลสำคัญสามส่วน:

รูปแบบผลิตภัณฑ์ของโครงการ Mixin
ก่อนอื่น Mixin ไม่ได้เป็นเพียงผลิตภัณฑ์บริหารจัดการสินทรัพย์เท่านั้น โครงการทั้งหมดประกอบด้วย Mixin Network (บัญชีแยกประเภทที่ระบุของ BTC), Mixin Message (DAPP โซเชียลหรือที่รู้จักกันในชื่อเกณฑ์มาตรฐานสำหรับ WeChat) และ Xin Token (เครื่องมือจำนำ POS ของ Mixin Network ใช้ในการทำธุรกรรมด้วย)
เครือข่าย Mixin ทำงานอย่างไร
Mixin Network มีองค์ประกอบหลักสองส่วน: [Mixin Full Node] และ [Mixin Domain]
[Mixin Domain] คือแก่นของความลึกลับของเหตุการณ์การโจรกรรมทั้งหมด! [Mixin Domain] จริงๆ แล้วเป็นองค์ประกอบที่คล้ายกับระบบกระเป๋าสตางค์ร้อน โดยให้ลูกค้า Mixin แต่ละรายมีที่อยู่เติมเงิน Bitcoin ที่เป็นอิสระ และถ่ายโอนคีย์ส่วนตัวผ่านการสร้างคีย์แบบกระจาย (เรียกสั้น ๆ ว่า DKG ซึ่งเป็นหนึ่งในโซลูชันทางเทคนิคของ MPC) การแบ่งส่วน และ การแบ่งคีย์ได้รับการจัดการร่วมกันโดย [Mixin Domain] และ [Mixin Full Node]
หลังจากที่ผู้ใช้เติมเงินที่อยู่ Mixin DAPP แล้ว ทรัพย์สินจะถูกรวบรวมและบันทึกในที่อยู่ที่มีลายเซ็นหลายลายเซ็นในที่สุด ซึ่งจัดการร่วมกันโดย [Mixin Domain] และ [Mixin Full Node] จากนั้นจำนวนเงินจะถูกแมปกับเครือข่าย Mixin และ Mixin ดีเอพีพี.
การคาดเดาถึงวิกฤตของ Mixin ก็เกิดจากสิ่งนี้:
ก) วิธีการแบ่งส่วน DKG ไม่ใช่โซลูชัน GG 18 MPC แบบดั้งเดิม เนื่องจากการมีอยู่ของคีย์ส่วนตัวดั้งเดิม จึงมีความเสี่ยงที่จะถูกขโมยทรัพย์สินภายในและภายนอก
b) ส่วนแบ่งคีย์จะถูกจัดเก็บไว้ใน [Mixin Domain] และ [Mixin Full Node] และสมุดปกขาวอย่างเป็นทางการของ Mixin ระบุไว้อย่างชัดเจนว่ามีการสำรองข้อมูลส่วนแบ่งข้อมูลไว้ โดยเป็นกลางแล้ว มีความเสี่ยงที่จะมีการขโมยส่วนแบ่งข้อมูลภายในและภายนอกสำหรับธุรกรรมที่มีลายเซ็นหลายลายเซ็น (นี่เป็นสาเหตุที่เป็นไปได้มากที่สุดที่ทำให้ผู้ใช้สูญเสีย BTC หลังจากข้อมูลเซิร์ฟเวอร์คลาวด์ถูกขโมย)
c) ทรัพย์สินของลูกค้าที่แสดงบน Mixin DAPP ไม่ใช่ BTC จริง และไม่ได้ดำเนินการ xBTC ข้ามสายโซ่ผ่านสัญญาอัจฉริยะ เป็นเพียงจุดทางบัญชีที่สร้างโดย Mixin Network หลังจากได้รับการสื่อสารการเติมเงินซึ่งไม่แตกต่างจากยอดคงเหลือในบัญชีแบบรวมศูนย์ การแลกเปลี่ยน

(ใช้ฟังก์ชันการส่งซองจดหมายสีแดงของข้อความ Mixin เป็นตัวอย่างเพื่อจำลองขั้นตอนการทำงานของผลิตภัณฑ์ Mixin)

วิธีที่แฮกเกอร์ขโมย BTC ของลูกค้า Mixin
ณ จุดนี้ ฉันเชื่อว่าเพื่อนที่มีประสบการณ์รู้อยู่แล้วว่าหลุมใน Mixin นั้นใหญ่แค่ไหน และ Cregis Reseach ยังคงแยกแยะว่า BTC ของลูกค้า Mixin มีแนวโน้มที่จะไปจากสองมิติของความชั่วร้ายภายในและความชั่วร้ายภายนอก:
1. บาปภายใน (สองทิศทาง)
หากขั้นตอนการทำงานของเครือข่าย Mixin สอดคล้องกับสิ่งที่อธิบายไว้ในเอกสารไวท์เปเปอร์ แสดงว่ามีสองทิศทางสำหรับความชั่วร้ายภายใน:
ก) ฝ่ายโครงการควบคุมโหนดเซิร์ฟเวอร์แบบเต็มจำนวน 2/3+1 จำนวน และสามารถเริ่มต้นธุรกรรมแบบหลายลายเซ็นได้ตลอดเวลา ปัจจุบัน Mixin มีโหนดปฏิบัติการประมาณ 35 โหนด ตามไฟล์การกำหนดค่าโค้ดหลักของ Mixin จำนวนโหนดที่ทีมงาน Mixin ดำเนินการเองคือประมาณ 27 โหนด นอกจากนี้ เนื่องจากคุณต้องให้คำมั่นสัญญา Mixin Token ประมาณ 2 ล้านดอลลาร์สหรัฐเพื่อเรียกใช้ [Mixin full node] และจำนวนโหนดภายนอกยังไม่เพียงพอในความเป็นจริง การโจมตีแบบหลายลายเซ็นที่เปิดตัวผ่านเซิร์ฟเวอร์โหนดจึงสามารถตัดออกได้ เนื่องจากเกิดจากบุคคลภายนอก
เอกสารการกำหนดค่าอย่างเป็นทางการของเครือข่าย Mixin
b) ตามเอกสารไวท์เปเปอร์อย่างเป็นทางการของ Mixin เพื่อป้องกันไม่ให้ชาร์ดคีย์สูญหาย Mixin จะทำการสำรองข้อมูลคีย์ชาร์ดหลายรายการบนเซิร์ฟเวอร์อย่างเป็นทางการ ดังนั้นแม้จะเป็นไปไม่ได้ก็ตาม
ควบคุมเซิร์ฟเวอร์โหนดแบบเต็มเพื่อลงนามธุรกรรม และคุณยังสามารถใช้ชาร์ดคีย์ส่วนตัวสำรองเพื่อเริ่มธุรกรรมได้อีกด้วย
เอกสารไวท์เปเปอร์อย่างเป็นทางการของ Mixin อธิบายการสำรองข้อมูลคีย์ชาร์ด
2. สิ่งชั่วร้ายภายนอก (4 ทิศ)
จากมุมมองของแฮ็กเกอร์ วิธีการเจาะการป้องกันของ Mixin Network มีดังนี้:
a) เจาะทะลุเซิร์ฟเวอร์คลาวด์แบบเต็มโหนดจำนวน 2/3+1;
b) เจาะกลุ่มคีย์ส่วนตัวเพื่อสำรองเซิร์ฟเวอร์/ฐานข้อมูล
c) เจาะเซิร์ฟเวอร์/ฐานข้อมูล [Mixin Domain] ควบคุมคีย์ส่วนตัวของที่อยู่เติมเงินจำนวนมาก และขโมยทรัพย์สินกระเป๋าสตางค์ร้อนที่ยังไม่ได้รวบรวม
เส้นทางทางเทคนิคล้วนๆ ข้างต้นดูเรียบง่าย แต่ปริมาณงานที่ต้องใช้เพื่อให้ประสบความสำเร็จนั้นมีมาก ที่จริงแล้ว แฮกเกอร์ยังมีวิธีที่ง่ายกว่า (โชคดี) ในการใช้อีเมลฟิชชิ่งหรือเว็บไซต์เพื่อโจมตีเทคโนโลยีหลักของ Mixin หรือเจ้าหน้าที่ปฏิบัติการและบำรุงรักษา เมื่อเหยื่อที่ไม่ระมัดระวังจับเหยื่อ แฮกเกอร์สามารถใช้โทรจันเพื่อเข้าสู่โฮสต์ของอีกฝ่ายและรวบรวมรหัสผ่านเซิร์ฟเวอร์คลาวด์และข้อมูลอื่น ๆ เพื่อการโจมตีที่แม่นยำ
โดยสรุป แม้ว่าในปัจจุบันยังไม่มีหลักฐานโดยตรงว่าการขโมย Mixin นั้นเป็นการกระทำที่เกิดขึ้นเอง แต่ตรรกะของการดำเนินการทางเทคนิคก็มีช่องโหว่อยู่

เหตุการณ์การโจรกรรมของ Mixin ส่งผลกระทบมากกว่าแค่ลูกค้าที่สูญเสียทรัพย์สินของตน Bitcoin เกิดจากความผิดหวังและการต่อต้านของผู้คนต่อสถาบันการเงินแบบรวมศูนย์ นักอุดมคตินิยมหวังที่จะสร้างโมเดลทางเศรษฐกิจที่ไม่ต้องใช้ความไว้วางใจและไม่สามารถทำสิ่งชั่วร้ายได้ อย่างไรก็ตาม หลังจากการพัฒนามานานกว่าสิบปี สินทรัพย์ดิจิทัลยังคงดูเหมือนจะไม่สามารถกำจัดออกไปได้ ของกิจวัตรการจัดการแบบรวมศูนย์ . สาเหตุหลักที่ทำให้ทรัพย์สินส่วนใหญ่สูญหายนั้นยังคงเชื่อถือวัตถุที่ไม่ถูกต้อง

ความปลอดภัยและความสะดวกสบาย ความสมดุลของการดูแลที่เข้ารหัสจะแกว่งไปทางไหนในที่สุด?

จากเหตุการณ์ MiXin เราค้นพบว่าหากบุคคลหรือสถาบันใดเลือกวิธีการจัดการร่วมแบบไฮบริดเพื่อบันทึกสินทรัพย์ดิจิทัลของพวกเขา ก็จะเป็นวิธีการจัดการสินทรัพย์แบบรวมศูนย์โดยพื้นฐานแล้ว

ในขณะที่เพลิดเพลินไปกับฟังก์ชันต่างๆ เช่น การเข้าสู่ระบบโซเชียลที่สะดวกสบาย การกู้คืนคีย์ส่วนตัว การเรียกคืนบัญชี ฯลฯ การโอนใดๆ ในห่วงโซ่สินทรัพย์จะต้องได้รับการประสานงานโดยบุคคลที่สาม ซึ่งย่อมเกี่ยวข้องกับความเสี่ยงภายในหรือภายนอกอย่างหลีกเลี่ยงไม่ได้

ผลิตภัณฑ์ของ Cregis ยึดมั่นในกลยุทธ์ด้านความปลอดภัยในการดูแลตนเองของลูกค้ามาโดยตลอด แม้ว่าจะยอมสละความสะดวกสบาย แต่ก็สามารถมั่นใจได้ว่าลูกค้าจะไม่ต้องกังวลกับการสูญเสียทรัพย์สินเนื่องจาก Cregis คุณสมบัติผลิตภัณฑ์นี้สอดคล้องกับความต้องการ ของการจัดการกองทุนระดับองค์กรที่คำนึงถึงความปลอดภัยอย่างยิ่ง และร่วมกัน

เมื่อองค์กร Web 3.0 เติบโตขึ้น บริษัทอาจไม่เต็มใจที่จะพึ่งพาฟังก์ชันที่ได้รับจากเซิร์ฟเวอร์ของผู้ให้บริการโฮสติ้งสินทรัพย์อีกต่อไป ในเวลานี้ คุณต้องมีฟังก์ชันการปรับใช้งานส่วนตัวของ Cregis Cregis สามารถอนุญาตให้ปรับใช้ซอร์สโค้ดทั้งหมดตั้งแต่ไคลเอนต์ไปจนถึงไลบรารีอัลกอริทึมไปจนถึงการจัดการความร่วมมือทางการเงินไปยังเซิร์ฟเวอร์ของลูกค้า รหัสนี้ได้รับการตรวจสอบและได้รับการพิสูจน์แล้วว่าไม่มีช่องโหว่ด้านความปลอดภัยเป็นเวลา 6 ปี ลูกค้ามีการรักษาความปลอดภัยเช่นเดียวกับกระเป๋าเงินฮาร์ดแวร์และสามารถสัมผัสประสบการณ์ฟีเจอร์ที่หลากหลายของ Cregis ได้ ยิ่งไปกว่านั้น หากไม่มีข้อกำหนดสำหรับการอัพเกรดและบำรุงรักษาซอฟต์แวร์ ลูกค้าก็ไม่จำเป็นต้องติดต่อ Cregis อีกต่อไป และสามารถปกป้องความลับทางการค้าของตนได้อย่างสมบูรณ์

ความปลอดภัย

ในแง่ของความปลอดภัย การใช้งานแบบแปรรูปของ Cregis จะจำกัดข้อมูลและกิจกรรมการทำธุรกรรมทั้งหมดไว้ที่เซิร์ฟเวอร์ส่วนตัวขององค์กรโครงการ เพื่อให้มั่นใจในความปลอดภัยและการควบคุมทรัพย์สินและข้อมูลของผู้ใช้ โมเดลความปลอดภัยดังกล่าวสามารถบล็อกภัยคุกคามภายนอกต่างๆ ได้อย่างมีประสิทธิภาพ รวมถึงแต่ไม่จำกัดเพียงการโจมตีของแฮ็กเกอร์ การโจรกรรมข้อมูล หรือความไม่เสถียรของบริการของบุคคลที่สาม แม้แต่ Cregis ก็ไม่สามารถเข้าถึงชาร์ดคีย์ส่วนตัวของผู้ใช้ได้โดยตรง

การออกแบบการรักษาความปลอดภัยที่เป็นเอกลักษณ์นี้แตกต่างกับโซลูชันส่วนใหญ่ในตลาดที่ต้องอาศัยโฮสติ้งแบบรวมศูนย์หรือโฮสติ้งแบบไฮบริด

ทรัพยากรเซิร์ฟเวอร์พิเศษ

เนื่องจากสินทรัพย์ดิจิทัลและแอปพลิเคชัน Web3.0 มีความซับซ้อนและมีขนาดใหญ่มากขึ้น การเพิ่มประสิทธิภาพและการจัดการทรัพยากรเซิร์ฟเวอร์จึงมีความสำคัญอย่างยิ่ง ในโหมดการใช้งานส่วนตัวของ Cregis ทรัพยากรเซิร์ฟเวอร์สามารถใช้ได้โดยเฉพาะ โดยไม่ต้องแบ่งปันกับลูกค้าหรือโครงการอื่น

รองรับการปรับแต่งส่วนตัว

ในสภาพแวดล้อม Web 3.0 ที่ซับซ้อนมากขึ้น โซลูชันมาตรฐานมักไม่สามารถตอบสนองความต้องการเฉพาะของทุกองค์กรหรือโครงการได้ ดังนั้น Cregis จึงไม่เพียงตอบสนองความต้องการที่เป็นมาตรฐานเท่านั้น แต่ยังรวมถึงความต้องการส่วนบุคคลด้วย การใช้งาน Cregis แบบส่วนตัวสนับสนุนฟังก์ชันการจัดการความร่วมมือทางการเงินที่ปรับแต่งได้สูงและการปรับแต่งที่ยืดหยุ่นตามความต้องการทางธุรกิจเฉพาะ

บริการให้คำปรึกษาด้านเทคนิคแบบตัวต่อตัว

การจัดการสินทรัพย์ดิจิทัลและการดำเนินงานโครงการ Web3 เกี่ยวข้องกับแง่มุมที่ซับซ้อนหลายประการ ตั้งแต่การดำเนินการธุรกรรมและการประมวลผลข้อมูลไปจนถึงการป้องกันความปลอดภัยและการปฏิบัติตามข้อกำหนด การใช้งานแบบเอกชนของ Cregis ไม่เพียงแต่ให้โครงสร้างพื้นฐานทางเทคนิคที่มีประสิทธิภาพ แต่ยังให้บริการให้คำปรึกษาด้านเทคนิคแบบตัวต่อตัว ไม่ว่าคุณจะประสบปัญหาในการกำหนดค่าระบบ การยืนยันธุรกรรม หรือการป้องกันความปลอดภัย ทีมเทคนิคมืออาชีพสามารถให้บริการคุณได้เป็นครั้งแรก พร้อมโซลูชั่น

กระเป๋าเงิน ที่อยู่ และสกุลเงินไม่จำกัดจำนวน

การใช้งานแบบส่วนตัวของ Cregis ช่วยให้ผู้ใช้สามารถเพิ่มกระเป๋าเงินและที่อยู่ใหม่โดยไม่มีข้อจำกัด ซึ่งหมายความว่าคุณมีอิสระในการจัดการสินทรัพย์ดิจิทัลประเภทต่างๆ ที่หลากหลาย