이전 검토: Mixin은 개인 키 샤딩 암호화를 통해 자산 보안을 보장하는 소위 분산형 자산 관리 네트워크입니다. 창립자와 기술적인 세부 사항 간의 관계로 인해 Mixin은 출시 당시 보안 및 규정 준수에 대해 많은 논의를 불러일으켰습니다.
Mixin은 2023년 9월 25일 오전 10시 50분에 공식 성명을 발표했습니다. Mixin Network 클라우드 서비스 제공업체 데이터베이스가 2023년 9월 23일 이른 아침에 해킹되어 메인 네트워크의 일부 자산이 손실되었습니다. Google과 SlowMist의 예비 조사에 따르면 관련 자금은 약 2억 달러에 이릅니다.
환호와 기대 속에 BTC는 현물 ETF 소식에 힘입어 마침내 3만 달러를 돌파했지만, 화폐계 친구들이 재정적 자유를 얻으려면 시장 추세를 따르는 것 외에도 자신의 자산을 보호해야 합니다. 그렇지 않으면 BTC가 다달아 가더라도! 그것은 또한 노력의 낭비이다. Cregis는 다음 강세장에서 모든 사람이 자신의 디지털 자산을 더 잘 보호할 수 있기를 바라며 반달 전에 모두를 소란스럽게 만든 Mixin 도난 사건을 요약했습니다!
(믹신 공식 X가 훔친 소식을 공개했습니다)
바이낸스 CEO 창펑 자오(Changpeng Zhao)는 즉시 MiXin의 분산형 P2P 네트워크가 데이터베이스를 가지고 있다고 말하면서 이해할 수 없으며 분산형이라고 주장하는 모든 것이 분산형은 아니다라고 믿었다고 말했습니다.
(CZ는 X에서 Mixin의 분산화 정도에 대해 의문을 제기했습니다)
그렇다면 소위 분산형 네트워크가 해커의 공격에 성공한 이유는 무엇이며, 사용자의 자산은 어떻게 도난당하는 것일까요?
모든 사람이 모든 내용을 이해할 수 있도록 Cregis Reseach는 세 가지 주요 정보를 수집했습니다.
Mixin 프로젝트의 제품 형태
우선, Mixin은 단순한 자산 관리 제품이 아닙니다. 전체 프로젝트는 Mixin Network(BTC의 명목 원장), Mixin Message(WeChat의 벤치마크로 알려진 소셜 DAPP) 및 Xin Token(Mixin Network의 POS 스테이킹 도구, 거래에도 사용됨)
Mixin 네트워크 작동 방식
Mixin Network에는 [Mixin Full Node]와 [Mixin Domain]이라는 두 가지 핵심 구성 요소가 있습니다.
전체 도난 사건 미스터리의 핵심은 [믹스인 도메인]이다! [Mixin Domain]은 실제로 핫월렛 시스템과 유사한 구성요소로, 각 Mixin 고객에게 독립적인 비트코인 충전 주소를 제공하고, 분산키 생성(DKG, 줄여서 MPC의 기술 솔루션 중 하나)을 통해 개인키를 전송하는 샤딩 및 키 샤딩은 [Mixin Domain]과 [Mixin Full Node]에서 공동으로 관리합니다.
사용자가 Mixin DAPP 주소를 충전한 후, 결국 자산은 [Mixin Domain]과 [Mixin Full Node]가 공동으로 관리하는 다중 서명 주소에 수집되어 저장되며, 그 금액은 Mixin 네트워크와 Mixin에 매핑됩니다. DAPP.
믹신 위기의 전조도 여기서 드러났다.
a) DKG 샤딩 방식은 정통 GG 18 MPC 솔루션이 아니며, 원본 개인키의 존재로 인해 객관적으로 내부 및 외부 자산 도용의 위험이 있습니다.
b) 키 샤드는 [Mixin Domain]과 [Mixin Full Node]에 저장되며, Mixin 공식 백서에는 샤드가 백업된다는 점을 명확히 명시하고 있으며, 객관적으로 다중 서명 거래에 대한 내부 및 외부 샤드 탈취 위험이 있습니다. (클라우드 서버 데이터가 도난당한 후 사용자가 BTC를 잃는 가장 큰 이유이기도 합니다.)
c) Mixin DAPP에 표시되는 고객 자산은 실제 BTC가 아니며 xBTC가 스마트 계약을 통해 크로스체인으로 실행된 것도 아니며 단지 재충전 통신을 받은 후 Mixin Network가 생성한 회계 포인트일 뿐이며 중앙 집중식 계정 잔액과 다르지 않습니다. 교환.
(Mixin 제품 워크플로우를 시뮬레이션하기 위해 Mixin 메시지의 빨간 봉투 전송 기능을 예로 들어 보겠습니다.)
해커가 Mixin 고객의 BTC를 훔치는 방법
이 시점에서 경험 많은 친구들은 이미 Mixin의 구덩이가 얼마나 큰지 알고 있다고 생각하며 Cregis Reseach는 여전히 Mixin 고객의 BTC가 내부 악과 외부 악의 두 가지 차원에서 어디로 갈 가능성이 가장 높은지 분류하고 있습니다.
1. 내부 악(두 방향)
Mixin 네트워크의 워크플로우가 실제로 백서에 설명된 내용과 일치한다면 내부 악에는 두 가지 방향이 있습니다.
a) 프로젝트 당사자는 2/3+1 수의 전체 노드 서버를 제어하고 언제든지 다중 서명 트랜잭션을 시작할 수 있습니다. Mixin은 현재 약 35개의 노드를 운영하고 있는데, Mixin의 핵심 코드 구성 파일에 따르면 Mixin 팀이 자체 운영하는 노드의 수는 약 27개이다. 또한, [믹스인 풀노드]를 운영하기 위해서는 약 200만 달러 규모의 믹스인 토큰을 담보로 해야 하고, 외부 노드 수가 현실적으로 턱없이 부족하기 때문에 노드 서버를 통해 시작된 다중 시그니처 공격도 배제할 수 있다. 외부인에 의해 발생하는 것처럼.
Mixin 네트워크의 공식 구성 문서
b) Mixin의 공식 백서에 따르면, 키 샤드의 분실을 방지하기 위해 Mixin은 공식 서버에서 키 샤드의 다중 백업을 수행합니다. 그러니 불가능하더라도
전체 노드 서버를 제어하여 트랜잭션에 서명하고, 백업 개인 키 조각을 사용하여 트랜잭션을 시작할 수도 있습니다.
Mixin 공식 백서에서는 키 샤드 백업에 대해 설명합니다.
2. 외부악(4방향)
해커의 관점에서 추론해보면 Mixin Network의 방어를 뚫는 방법은 다음과 같다.
a) 전체 노드 클라우드 서버 수의 2/3+1개를 돌파합니다.
b) 개인 키 조각을 뚫고 서버/데이터베이스를 백업합니다.
c) [믹스인 도메인] 서버/데이터베이스에 침투하여 다수의 충전 주소의 개인 키를 마스터하고, 수집되지 않은 핫 지갑 자산을 훔칩니다.
위의 순전히 기술적인 경로는 단순해 보이지만 성공하기 위해 필요한 작업량이 엄청납니다. 실제로 해커는 피싱 이메일이나 웹사이트를 사용하여 Mixin의 핵심 기술이나 운영 및 유지 관리 인력을 공격하는 더 간단한(운이 좋은) 방법도 있습니다. 부주의한 피해자가 미끼를 물면 해커는 트로이 목마를 이용해 상대방의 호스트에 침입해 클라우드 서버 비밀번호와 기타 정보를 수집해 정밀한 공격을 할 수 있다.
요약하자면, 현재로서는 Mixin의 도난이 자해라는 직접적인 증거는 없지만, Mixin의 기술적 구현 논리에는 허점이 있습니다.
믹스인 도난 사건은 자산을 잃은 고객에게만 영향을 미치는 것이 아닙니다. 비트코인은 중앙화된 금융 기관에 대한 사람들의 실망과 저항에서 탄생했습니다. 이상주의자들은 신뢰가 필요 없고 악을 행할 수 없는 경제 모델을 만들고자 합니다. 그러나 10년 이상의 개발 후에도 디지털 자산은 여전히 제거할 수 없는 것 같습니다. 중앙집중화된 관리 루틴의 .. 대부분의 자산이 손실되는 핵심 이유는 여전히 잘못된 개체를 신뢰하는 것입니다.
보안과 편의성, 암호화된 보관의 균형은 결국 어디로 갈까요?
MiXin 사건을 통해 우리는 개인이나 기관이 디지털 자산을 저장하기 위해 하이브리드 공동 관리 방법을 선택한다면 이는 본질적으로 중앙 집중식 자산 관리 방법이라는 사실을 발견했습니다.
편리한 소셜 로그인, 개인 키 복구, 계정 검색과 같은 기능을 즐기면서 체인의 모든 자산 전송은 제3자에 의해 조정되어야 하며, 이는 필연적으로 내부 또는 외부 위험을 수반합니다.
크레지스의 제품은 항상 고객 자기보관의 보안전략을 고수해 왔으며, 편의성을 다소 희생하더라도 고객이 크레지스로 인해 자산 손실을 걱정할 필요가 없도록 보장할 수 있는 제품의 특징은 이러한 요구에 부합합니다. 보안을 극도로 염려하는 기업 차원의 자금관리, 그리고 함께합니다.
Web 3.0 기업의 규모가 커지면 더 이상 자산호스팅 서비스 제공업체의 서버가 제공하는 기능에 의존할 수 없게 되는데, 이때 Cregis의 Private 배포 기능이 필요합니다. Cregis는 클라이언트에서 알고리즘 라이브러리, 금융 협업 관리, 고객 서버에 이르기까지 모든 소스 코드 배포를 승인할 수 있습니다. 이 코드는 감사를 거쳐 6년 동안 보안 취약점이 없는 것으로 입증되었습니다. 고객은 하드웨어 지갑과 동일한 보안성을 갖고 Cregis의 풍부한 기능을 경험할 수 있으며, 소프트웨어 업그레이드 및 유지 관리에 대한 요구 사항이 없다면 고객은 더 이상 Cregis에 연락할 필요가 없어 영업 비밀을 완벽하게 보호할 수 있습니다.
안전
보안 측면에서 Cregis의 민영화 배포는 모든 데이터 및 거래 활동을 프로젝트 조직의 개인 서버로 제한하여 사용자 자산 및 데이터의 보안과 제어 가능성을 보장합니다. 이러한 보안 모델은 해커 공격, 데이터 도난, 타사 서비스 불안정 등 다양한 외부 위협을 효과적으로 차단할 수 있습니다. Cregis조차도 사용자의 개인 키 조각에 직접 액세스할 수 없습니다.
이 독특한 보안 설계는 중앙 집중식 호스팅이나 하이브리드 호스팅에 의존하는 시장의 대부분의 솔루션과 대조됩니다.
독점 서버 자원
디지털 자산과 Web3.0 애플리케이션이 점점 더 복잡해지고 커지면서 서버 리소스의 최적화와 관리가 특히 중요해졌습니다. Cregis의 프라이빗 배포 모드에서는 서버 리소스를 다른 고객이나 프로젝트와 공유하지 않고 독점적으로 사용할 수 있습니다.
개인 맞춤화 지원
점점 복잡해지는 Web 3.0 환경에서는 표준화된 솔루션이 모든 조직이나 프로젝트의 특정 요구 사항을 충족할 수 없는 경우가 많습니다. 따라서 Cregis는 표준화된 요구 사항뿐만 아니라 개인의 요구 사항도 충족합니다. Cregis의 비공개 배포는 고도로 사용자 정의 가능한 금융 협업 관리 기능과 특정 비즈니스 요구에 대한 유연한 사용자 정의를 지원합니다.
일대일 기술 컨설팅 서비스
디지털 자산 관리 및 Web3 프로젝트 운영에는 트랜잭션 실행 및 데이터 처리부터 보안 보호 및 규정 준수에 이르기까지 여러 복잡한 측면이 포함됩니다. Cregis 민영화 배포는 강력한 기술 인프라를 제공할 뿐만 아니라 일대일 기술 컨설팅 서비스도 제공합니다.시스템 구성, 거래 확인 또는 보안 보호에 문제가 있는 경우 전문 기술 팀이 귀하에게 최초의 솔루션을 제공할 수 있습니다. 솔루션으로.
무제한의 지갑, 주소 및 통화
Cregis 비공개 배포를 통해 사용자는 제한 없이 새로운 지갑과 주소를 추가할 수 있습니다. 즉, 다양한 유형의 디지털 자산을 자유롭게 관리할 수 있습니다.
