Đánh giá trước đây: Mixin được gọi là mạng quản lý tài sản phi tập trung nhằm đảm bảo an ninh tài sản thông qua mã hóa sharding khóa riêng. Do mối quan hệ giữa người sáng lập và các chi tiết kỹ thuật, Mixin đã gây ra rất nhiều cuộc thảo luận về bảo mật và tuân thủ khi ra mắt.
Mixin chính thức đưa ra tuyên bố vào lúc 10:50 sáng ngày 25 tháng 9 năm 2023. Cơ sở dữ liệu của nhà cung cấp dịch vụ đám mây Mixin Network đã bị hack vào sáng sớm ngày 23 tháng 9 năm 2023 dẫn đến mất một số tài sản trên mạng chính. Theo điều tra sơ bộ của Google và SlowMist, số tiền liên quan là khoảng 200 triệu USD.
Giữa sự cổ vũ và kỳ vọng, BTC cuối cùng đã vượt qua 30.000 đô la Mỹ dựa vào tin tức về ETF giao ngay, tuy nhiên, nếu bạn bè trong giới tiền tệ muốn đạt được tự do tài chính, ngoài việc tuân theo xu hướng thị trường, họ cũng phải bảo vệ tài sản của chính mình. Nếu không, ngay cả khi BTC lên mặt trăng ! Đó cũng là một sự lãng phí công sức. Cregis đã tóm tắt vụ trộm Mixin khiến mọi người náo loạn nửa tháng trước, hy vọng có thể cho phép mọi người bảo vệ tốt hơn tài sản kỹ thuật số của mình trong thị trường tăng giá tiếp theo!
(Mixin chính thức X đưa ra tin tức bị đánh cắp)
Giám đốc điều hành Binance Changpeng Zhao ngay lập tức nhận xét rằng MiXin là “mạng ngang hàng phi tập trung” có một “cơ sở dữ liệu”, nói rằng ông không thể hiểu được nó và tin rằng “không phải mọi thứ được cho là phi tập trung đều được phi tập trung hóa”.
(CZ đặt câu hỏi về mức độ phân quyền của Mixin trên X)
Vậy tại sao cái gọi là mạng phi tập trung lại bị hacker tấn công thành công và tài sản của người dùng lại bị đánh cắp như thế nào?
Để giúp mọi người hiểu rõ hơn, Cregis Reseach đã tổng hợp ba thông tin chính:
Mẫu sản phẩm của dự án Mixin
Trước hết, Mixin không chỉ là một sản phẩm quản lý tài sản, toàn bộ dự án bao gồm Mixin Network (sổ cái danh nghĩa của BTC), Mixin Message (DAPP xã hội, được gọi là điểm chuẩn cho WeChat) và Xin Token (công cụ đặt cược POS của Mixin Network, cũng được sử dụng cho các giao dịch)
Mạng Mixin hoạt động như thế nào
Mạng Mixin có hai thành phần cốt lõi: [Mixin Full Node] và [Mixin Domain].
[Mixin Domain] là cốt lõi của bí ẩn của toàn bộ vụ trộm! [Mixin Domain] thực chất là một thành phần tương tự như hệ thống ví nóng, cung cấp cho mỗi khách hàng Mixin một địa chỉ nạp Bitcoin độc lập và chuyển khóa riêng thông qua việc tạo khóa phân tán (gọi tắt là DKG, một trong những giải pháp kỹ thuật của MPC). phân đoạn khóa được đồng quản lý bởi [Mixin Domain] và [Mixin Full Node].
Sau khi người dùng nạp lại địa chỉ Mixin DAPP, tài sản cuối cùng sẽ được thu thập và lưu trong địa chỉ đa chữ ký do [Mixin Domain] và [Mixin Full Node] cùng quản lý, sau đó số tiền sẽ được ánh xạ tới mạng Mixin và Mixin DAPP.
Điềm báo về cuộc khủng hoảng của Mixin cũng xuất phát từ điều này:
a) Phương pháp sharding DKG không phải là giải pháp GG 18 MPC chính thống, do sự tồn tại của khóa riêng ban đầu nên khách quan có nguy cơ bị đánh cắp tài sản bên trong và bên ngoài;
b) Các phân đoạn khóa được lưu trữ trên [Mixin Domain] và [Mixin Full Node], và sách trắng chính thức của Mixin nêu rõ rằng các phân đoạn được sao lưu. Về mặt khách quan, có nguy cơ bị đánh cắp các phân đoạn nội bộ và bên ngoài đối với các giao dịch đa chữ ký. (Đây cũng là lý do rất có thể khiến người dùng mất BTC sau khi dữ liệu máy chủ đám mây bị đánh cắp)
c) Tài sản của khách hàng được hiển thị trên Mixin DAPP không phải là BTC thật, cũng không phải xBTC được thực hiện xuyên chuỗi thông qua hợp đồng thông minh. Chúng chỉ là các điểm kế toán do Mixin Network tạo ra sau khi nhận được thông tin nạp tiền, không khác gì số dư tài khoản của tập trung trao đổi.
(Lấy chức năng gửi phong bì màu đỏ của tin nhắn Mixin làm ví dụ để mô phỏng quy trình làm việc của sản phẩm Mixin)
Những cách tin tặc đánh cắp BTC của khách hàng Mixin
Tại thời điểm này, tôi tin rằng những người bạn có kinh nghiệm đã biết hố sâu ở Mixin lớn như thế nào và Cregis Reseach vẫn đang phân loại xem BTC của khách hàng Mixin có nhiều khả năng đi đến đâu từ hai chiều của cái ác bên trong và cái ác bên ngoài:
1. Nội ác (hai hướng)
Nếu quy trình làm việc của mạng Mixin thực sự phù hợp với những gì được mô tả trong sách trắng thì có hai hướng dẫn đến tội ác nội bộ:
a) Bên dự án kiểm soát 2/3+1 số lượng máy chủ nút đầy đủ và có thể bắt đầu giao dịch đa chữ ký bất kỳ lúc nào. Mixin hiện có khoảng 35 nút hoạt động, theo file cấu hình mã lõi của Mixin, số lượng nút tự vận hành của nhóm Mixin là khoảng 27 nút. Ngoài ra, vì bạn cần cam kết khoảng 2 triệu đô la Mỹ bằng Mã thông báo Mixin để chạy [nút đầy đủ Mixin] và số lượng nút bên ngoài trên thực tế là không đủ, nên có thể loại trừ các cuộc tấn công đa chữ ký được thực hiện thông qua máy chủ nút. do người ngoài gây ra.
Tài liệu cấu hình chính thức của mạng Mixin
b) Theo sách trắng chính thức của Mixin, để tránh bị mất các phân đoạn khóa, Mixin sẽ thực hiện nhiều bản sao lưu các phân đoạn khóa trên máy chủ chính thức. Vì vậy, ngay cả khi điều đó là không thể
Kiểm soát máy chủ nút đầy đủ để ký các giao dịch và bạn cũng có thể sử dụng các phân đoạn khóa riêng dự phòng để bắt đầu giao dịch.
Sách trắng chính thức của Mixin mô tả sao lưu phân đoạn khóa
2. Ngoại ác (4 hướng)
Theo quan điểm của hacker, các cách để xâm nhập vào hệ thống phòng thủ của Mixin Network như sau:
a) Vượt qua 2/3+1 số lượng máy chủ đám mây toàn nút;
b) Đột phá các phân đoạn khóa riêng để sao lưu máy chủ/cơ sở dữ liệu;
c) Xâm nhập máy chủ/cơ sở dữ liệu [Mixin Domain], nắm vững khóa riêng của một số lượng lớn địa chỉ nạp tiền và đánh cắp tài sản ví nóng chưa được thu thập;
Con đường thuần túy kỹ thuật trên tưởng chừng đơn giản nhưng khối lượng công việc cần thực hiện để thành công lại rất lớn, trên thực tế hacker cũng có những cách (may mắn) đơn giản hơn là sử dụng email hoặc website lừa đảo để tấn công công nghệ cốt lõi hay nhân sự vận hành, bảo trì của Mixin. Khi nạn nhân bất cẩn mắc bẫy, tin tặc có thể sử dụng Trojan để xâm nhập vào máy chủ của bên kia và thu thập mật khẩu máy chủ đám mây cũng như các thông tin khác để tấn công chính xác.
Tóm lại, mặc dù hiện tại không có bằng chứng trực tiếp nào cho thấy hành vi trộm Mixin là do tự mình thực hiện, nhưng logic triển khai kỹ thuật của nó vẫn có những sơ hở.
Vụ trộm Mixin không chỉ ảnh hưởng đến những khách hàng bị mất tài sản. Bitcoin ra đời từ sự thất vọng và phản kháng của mọi người đối với các tổ chức tài chính tập trung. Những người theo chủ nghĩa duy tâm hy vọng tạo ra một mô hình kinh tế không cần sự tin tưởng và không thể làm điều ác. Tuy nhiên, sau hơn mười năm phát triển, tài sản kỹ thuật số dường như vẫn chưa thể thoát khỏi của các thủ tục quản lý tập trung. . Nguyên nhân cốt lõi khiến phần lớn tài sản bị mất vẫn là do tin tưởng nhầm đối tượng.
An ninh và tiện lợi, cuối cùng thì sự cân bằng của quyền lưu ký được mã hóa sẽ xoay chuyển về đâu?
Thông qua sự cố MiXin, chúng tôi phát hiện ra rằng nếu bất kỳ cá nhân hoặc tổ chức nào chọn phương pháp đồng quản lý kết hợp để lưu tài sản kỹ thuật số của họ thì đó thực chất là phương pháp quản lý tài sản tập trung.
Mặc dù được hưởng các chức năng như đăng nhập xã hội thuận tiện, khôi phục khóa riêng, truy xuất tài khoản, v.v., mọi hoạt động chuyển nhượng trên chuỗi tài sản đều phải do bên thứ ba điều phối, điều này chắc chắn liên quan đến rủi ro bên trong hoặc bên ngoài.
Các sản phẩm của Cregis luôn tuân thủ chiến lược bảo mật là khách hàng tự quản lý, mặc dù sẽ hy sinh một số tiện ích nhưng có thể đảm bảo rằng khách hàng không cần lo lắng về việc mất tài sản do Cregis. Tính năng sản phẩm này phù hợp với nhu cầu quản lý quỹ cấp doanh nghiệp cực kỳ quan tâm đến vấn đề bảo mật. Và cùng nhau.
Khi một doanh nghiệp Web 3.0 phát triển về quy mô, nó có thể không còn sẵn sàng dựa vào các chức năng do máy chủ của nhà cung cấp dịch vụ lưu trữ tài sản cung cấp nữa, lúc này bạn cần có chức năng triển khai riêng của Cregis. Cregis có thể ủy quyền triển khai tất cả mã nguồn từ máy khách đến thư viện thuật toán đến quản lý cộng tác tài chính đến máy chủ của khách hàng. Mã này đã được kiểm tra và chứng minh là không có lỗ hổng bảo mật trong 6 năm. Khách hàng có mức bảo mật tương tự như ví phần cứng và có thể trải nghiệm các tính năng phong phú của Cregis, hơn nữa, nếu không có yêu cầu nâng cấp và bảo trì phần mềm, khách hàng không cần liên hệ với Cregis nữa và có thể bảo vệ hoàn toàn bí mật thương mại của mình.
sự an toàn
Về mặt bảo mật, việc triển khai tư nhân hóa của Cregis giới hạn mọi hoạt động dữ liệu và giao dịch trong các máy chủ riêng của tổ chức dự án để đảm bảo tính bảo mật và khả năng kiểm soát tài sản và dữ liệu của người dùng. Mô hình bảo mật như vậy có thể ngăn chặn hiệu quả nhiều mối đe dọa bên ngoài khác nhau, bao gồm nhưng không giới hạn ở các cuộc tấn công của hacker, đánh cắp dữ liệu hoặc sự bất ổn của dịch vụ bên thứ ba. Ngay cả Cregis cũng không có quyền truy cập trực tiếp vào các phân đoạn khóa riêng của người dùng.
Thiết kế bảo mật độc đáo này tương phản với hầu hết các giải pháp trên thị trường dựa vào lưu trữ tập trung hoặc lưu trữ kết hợp.
Tài nguyên máy chủ độc quyền
Khi tài sản kỹ thuật số và ứng dụng Web3.0 ngày càng trở nên phức tạp và lớn, việc tối ưu hóa và quản lý tài nguyên máy chủ trở nên đặc biệt quan trọng. Trong chế độ triển khai riêng tư của Cregis, tài nguyên máy chủ có thể được sử dụng riêng mà không cần chia sẻ chúng với các khách hàng hoặc dự án khác.
Hỗ trợ tùy chỉnh riêng tư
Trong môi trường Web 3.0 ngày càng phức tạp, các giải pháp được chuẩn hóa thường không thể đáp ứng được nhu cầu cụ thể của mọi tổ chức, dự án. Cregis do đó không chỉ đáp ứng được nhu cầu tiêu chuẩn hóa mà còn cả nhu cầu cá nhân. Việc triển khai riêng tư Cregis hỗ trợ các chức năng quản lý cộng tác tài chính có khả năng tùy chỉnh cao và tùy chỉnh linh hoạt theo nhu cầu kinh doanh cụ thể.
Dịch vụ tư vấn kỹ thuật một-một
Quản lý tài sản kỹ thuật số và vận hành dự án Web3 liên quan đến nhiều khía cạnh phức tạp, từ thực hiện giao dịch và xử lý dữ liệu đến bảo vệ và tuân thủ bảo mật. Triển khai tư nhân hóa Cregis không chỉ cung cấp cơ sở hạ tầng kỹ thuật mạnh mẽ mà còn cung cấp các dịch vụ tư vấn kỹ thuật trực tiếp. Cho dù bạn đang gặp vấn đề về cấu hình hệ thống, xác nhận giao dịch hay bảo vệ bảo mật, đội ngũ kỹ thuật chuyên nghiệp có thể cung cấp cho bạn ngay lần đầu tiên với các giải pháp.
Không giới hạn số lượng ví, địa chỉ và tiền tệ
Triển khai riêng tư của Cregis cho phép người dùng thêm ví và địa chỉ mới mà không bị hạn chế, nghĩa là bạn có quyền tự do quản lý nhiều loại tài sản kỹ thuật số khác nhau.
