前のレビュー: Mixin は、秘密キーのシャーディング暗号化を通じて資産のセキュリティを確保する、いわゆる分散型資産管理ネットワークです。 Mixin は、創設者と技術的な詳細の関係により、発売当時、セキュリティとコンプライアンスに関して多くの議論を引き起こしました。
Mixin は、2023 年 9 月 25 日午前 10 時 50 分に正式に声明を発表しました。Mixin Network クラウド サービス プロバイダーのデータベースが 2023 年 9 月 23 日の早朝にハッキングされ、メイン ネットワーク上の一部の資産が失われました。 GoogleとSlowMistによる予備調査によると、関与した資金は約2億ドルだという。
歓声と期待の中、スポットETFのニュースを頼りにビットコインはついに3万ドルを突破したが、通貨界の友人たちが経済的自由を達成したいのであれば、市場の動向に従うだけでなく、自分の資産も守らなければならない。そうでなければ、たとえBTCが月に行ったとしても!それは努力の無駄でもあります。 Cregis は、半月前に誰もが大騒ぎになった Mixin 盗難事件を要約し、次の強気相場で誰もが自分のデジタル資産をよりよく保護できるようにしたいと考えています。
(Mixin公式Xが盗まれたニュースを公開)
BinanceのCEO、Changpeng Zhao氏はすぐに、MiXinの「分散型ピアツーピアネットワーク」には「データベース」があるとコメントし、理解できず、「分散型であると主張するものすべてが分散型であるわけではない」と信じていると述べた。
(CZ は、X における Mixin の分散化の程度に疑問を呈しました)
では、なぜいわゆる分散型ネットワークがハッカーによる攻撃に成功し、ユーザーの資産はどのように盗まれるのでしょうか?
誰もが詳細を理解できるように、Cregis Reseach は 3 つの重要な情報をまとめました。
Mixinプロジェクトの製品形態
まず第一に、Mixin は単なる資産管理製品ではなく、プロジェクト全体は Mixin Network (BTC の名目元帳)、Mixin Message (ソーシャル DAPP、WeChat のベンチマークとして知られる)、および Xin Token (Mixin Network の POS ステーキング ツール、取引にも使用されます)
Mixin ネットワークの仕組み
Mixin Network には、[Mixin Full Node] と [Mixin Domain] という 2 つのコア コンポーネントがあります。
【ミックスドメイン】は盗難事件全体の謎の核心! [Mixin Domain] は実際にはホット ウォレット システムに似たコンポーネントで、各 Mixin 顧客に独立したビットコイン リチャージ アドレスを提供し、分散キー生成 (略して DKG、MPC の技術ソリューションの 1 つ) を通じて秘密キーを転送します。キーシャーディングは[Mixin Domain]と[Mixin Full Node]によって共同管理されます。
ユーザーが Mixin DAPP アドレスにリチャージした後、最終的に資産は [Mixin ドメイン] と [Mixin フル ノード] によって共同管理されるマルチシグネチャ アドレスに収集および保存され、その金額は Mixin ネットワークと Mixin にマッピングされます。ダップ。
Mixin の危機の予兆は次のことからも明らかになりました。
a) DKG シャーディング方法は、正統的な GG 18 MPC ソリューションではなく、元の秘密キーが存在するため、客観的には内部および外部の資産盗難のリスクがあります。
b) キーシャードは [Mixin ドメイン] および [Mixin フルノード] に保存されており、Mixin の公式ホワイトペーパーにはシャードがバックアップされていることが明記されていますが、客観的に見て、マルチ署名トランザクションでは内部および外部にシャードが盗まれるリスクがあります。 (これは、クラウド サーバーのデータが盗まれた後にユーザーが BTC を失う最も可能性の高い理由でもあります)
c) Mixin DAPP に表示される顧客資産は実際の BTC ではなく、スマート コントラクトを介してクロスチェーンで実行された xBTC でもなく、リチャージ通信を受信した後に Mixin Network によって生成される単なる会計ポイントであり、集中型のアカウント残高と何ら変わりはありません。交換。
(Mixin メッセージの赤い封筒送信機能を例として、Mixin 製品のワークフローをシミュレートします)
ハッカーが Mixin 顧客の BTC を盗む方法
この時点で、経験豊富な友人はすでに Mixin の穴の大きさを知っていると思いますが、Cregis Reseach はまだ Mixin 顧客の BTC が内部悪と外部悪の 2 つの側面からどこに向かう可能性が最も高いかを整理中です。
1. 内なる悪(二方向)
Mixin ネットワークのワークフローがホワイトペーパーで説明されている内容と実際に一致している場合、内部悪には 2 つの方向があります。
a) プロジェクト当事者は 2/3+1 台のフルノード サーバーを制御し、いつでもマルチシグネチャ トランザクションを開始できます。 Mixin は現在約 35 のノードを運用していますが、Mixin のコアコード設定ファイルによれば、Mixin チームが自社運用するノードの数は約 27 ノードです。また、「Mixinフルノード」を実行するには約200万ドルのMixin Tokenを誓約する必要があり、実際には外部ノードの数が大幅に不足するため、ノードサーバーを介して仕掛けられるマルチシグネチャ攻撃を排除することができます。部外者によって引き起こされたものとして。
Mixin ネットワークの公式設定ドキュメント
b) Mixin の公式ホワイトペーパーによると、キーシャードの紛失を防ぐために、Mixin は公式サーバー上でキーシャードのバックアップを複数回実行します。だからたとえそれが不可能だとしても
フルノードサーバーを制御してトランザクションに署名し、バックアップ秘密キーシャードを使用してトランザクションを開始することもできます。
Mixin 公式ホワイトペーパーでは、キーシャードのバックアップについて説明しています
2.外的悪(4方向)
ハッカーの観点から推論すると、Mixin Network の防御を突破する方法は次のとおりです。
a) フルノード クラウド サーバーの数の 2/3+1 を突破します。
b) 秘密キーのシャードを突破してサーバー/データベースをバックアップします。
c) [Mixin Domain] サーバー/データベースに侵入し、多数のリチャージ アドレスの秘密キーを取得し、未収集のホット ウォレット資産を盗みます。
上記の純粋に技術的なパスは単純に見えますが、成功するために必要な作業量は膨大です。実際、ハッカーは、フィッシングメールや Web サイトを使用して、Mixin のコアテクノロジーや運用保守担当者を攻撃する、より簡単な (幸運な) 方法もあります。不注意な被害者が餌にかかると、ハッカーはトロイの木馬を使用して相手のホストに侵入し、クラウド サーバーのパスワードやその他の情報を収集して精密な攻撃を行うことができます。
要約すると、現時点では Mixin の盗難が自分自身によるものであるという直接的な証拠はありませんが、その技術的実装のロジックには抜け穴があります。
Mixin の盗難事件は、資産を失った顧客だけに影響を及ぼしているわけではありません。ビットコインは、中央集権的な金融機関に対する人々の失望と抵抗から生まれました。理想主義者は、信頼を必要とせず、悪を行うことのできない経済モデルを構築したいと考えています。しかし、開発から10年以上経っても、デジタル資産は依然として取り除くことができないようです集中管理ルーチン。ほとんどの資産が失われる主な理由は、依然として間違ったオブジェクトを信頼していることにあります。
セキュリティと利便性、暗号化された保管のバランスは最終的にどこに向かうのでしょうか?
MiXin 事件を通じて、個人や機関がデジタル資産を保存するためにハイブリッド共同管理方法を選択した場合、それは本質的に集中的な資産管理方法であることがわかりました。
便利なソーシャル ログイン、秘密キーの回復、アカウントの取得などの機能を利用できる一方で、アセット チェーン上の転送はサードパーティによって調整される必要があり、必然的に内部または外部のリスクが伴います。
Cregisの製品は常に顧客の自己保管というセキュリティ戦略を堅持しており、利便性は多少犠牲になりますが、顧客がCregisによる資産の損失を心配する必要はありません。この製品の特徴はニーズに沿っています。セキュリティを非常に重視する企業レベルの資金管理をサポートします。
Web 3.0 企業の規模が大きくなると、アセット ホスティング サービス プロバイダーのサーバーが提供する機能に依存できなくなる場合があり、その際には Cregis のプライベート デプロイメント機能が必要になります。 Cregis は、クライアントからアルゴリズム ライブラリ、金融コラボレーション管理、顧客のサーバーに至るまで、すべてのソース コードの展開を承認できます。このコードは監査されており、6 年間セキュリティ脆弱性がないことが証明されています。ハードウェアウォレットと同等のセキュリティを確保し、Cregisの豊富な機能を体験できるほか、ソフトウェアのバージョンアップやメンテナンスが不要であれば、顧客はCregisへの連絡が不要となり、営業秘密を完全に保護することができます。
安全性
セキュリティの面では、Cregis の民営化導入により、すべてのデータとトランザクション アクティビティがプロジェクト組織のプライベート サーバーに制限され、ユーザー資産とデータのセキュリティと制御性が確保されます。このようなセキュリティ モデルは、ハッカー攻撃、データ盗難、サードパーティ サービスの不安定性など、さまざまな外部の脅威を効果的にブロックできます。 Cregis でさえ、ユーザーの秘密鍵のシャードに直接アクセスすることはできません。
この独自のセキュリティ設計は、集中型ホスティングまたはハイブリッド ホスティングに依存する市場のほとんどのソリューションとは対照的です。
専用サーバーリソース
デジタル資産と Web3.0 アプリケーションがますます複雑かつ大規模になるにつれて、サーバー リソースの最適化と管理が特に重要になってきています。 Cregis のプライベート展開モードでは、サーバー リソースを他の顧客やプロジェクトと共有することなく独占的に使用できます。
プライベートカスタマイズをサポート
ますます複雑化する Web 3.0 環境では、標準化されたソリューションではすべての組織やプロジェクトの特定のニーズを満たすことができないことがよくあります。したがって、Cregis は標準化されたニーズだけでなく、個別のニーズにも対応します。 Cregis のプライベート展開は、高度にカスタマイズ可能な財務コラボレーション管理機能と、特定のビジネス ニーズに合わせた柔軟なカスタマイズをサポートします。
マンツーマンの技術コンサルティングサービス
デジタル資産管理と Web3 プロジェクトの運用には、トランザクションの実行やデータ処理からセキュリティ保護やコンプライアンスに至るまで、複数の複雑な側面が関係します。 Cregis の民営化導入は、強力な技術インフラストラクチャを提供するだけでなく、1 対 1 の技術コンサルティング サービスも提供します。システム構成、トランザクション確認、セキュリティ保護などの問題に直面している場合でも、専門の技術チームが初めての解決策を提供します。ソリューションとともに。
ウォレット、アドレス、通貨の数は無制限
Cregis のプライベート展開では、ユーザーは制限なく新しいウォレットとアドレスを追加できるため、さまざまな種類のデジタル資産を自由に管理できます。
