RED:机构钱包私钥动用的关键安全逻辑——端到端“所见即所签”

上一期结合8月Liquid和Bilaxy两个交易所热钱包被攻击事件,艾贝链动CTONeilson主要分析了金融级安全芯片软硬件设计如何保护机构钱包私钥的全生命周期安全。本期艾贝链动CTONeilson将继续介绍机构钱包私钥高频使用的安全逻辑,解读机构经营过程中如何实现频繁操作的安全性和易用性。金融级安全芯片,实现了对私钥从产生、存储到签名运算的安全性保护。但这对于机构用户,特别是围绕数字资产开展金融服务的经营性机构,还是不够的。机构对数字资产的动用需求,通常在不同角色的多人、多地、多系统之间流转。这个过程中,还会面临其他维度的安全威胁,比如,黑客通过提前注入的木马程序“篡改”关键交易信息,将资金悄悄转入自己的目标地址;或者通过获取内部管理人员权限,向数据库中插入一笔“伪造”的授权交易。对交易的伪造或者篡改,都属于“中间人攻击”的范畴。什么是“中间人攻击”,攻击逻辑如何实现?

机构信贷基础设施提供商Credora完成600万美元融资:4月25日消息,机构信贷基础设施提供商 Credora 在一轮战略融资中筹集了 600 万美元,投资者包括 S&P Global 和 Coinbase Ventures。本轮融资的其他参与者包括 Spartan、Amber Group、CMT Digital、Hashkey、GSR、KuCoin Ventures、流动性提供商 Paradigm.co、Pirata Capital、Breed VC 和 WAGMI Ventures。该轮融资使 Credora 获得了高达 1600 万美元的总融资。这笔资金将帮助构建技术并支持 Credora 用于承保和监控借款人的私有计算技术。该初创公司为集中式和 DeFi 的机构信贷提供技术基础设施。

Credora 成立于 2019 年,提供针对私人信贷市场量身定制的贷款基础设施和信用评级系统。该公司表示,其隐私保护技术使贷方能够在不泄露借款人信息的情况下做出明智的实时决策。据该公司称,Credora 迄今已促成超过 10 亿美元的贷款。[2023/4/25 14:26:16]

中间人攻击是一种网络攻击类型,当数据离开一个端点前往另一个端点时,传输过程的时间便是对数据失去控制的时候。当一个攻击者将自己置于两个端点并试图截获或阻碍数据传输时,便称为中间人攻击。通信的两方认为他们是在与对方交谈,但是实际上他们是在与黑客交流。类似于我们通俗理解的信息被“窃听”。

BitMEX为机构和散户投资者推出外汇永续合约:金色财经消息,加密货币交易平台BitMEX正在向加密货币之外扩展,它正在进入传统金融市场,推出与外币挂钩的永续合约。该公司周五宣布推出外汇永久掉期合约(FX perps),该合约将允许其用户交易20多种与外币挂钩的合约,即使在这些货币的盘后交易期间也是如此。

这是该公司自公司更名并聘请交易所资深人士亚历山大霍普特纳(Alexander Hoptner)接替创始人亚瑟海耶斯(Arthur Hayes)担任首席执行官以来,在非加密相关产品领域最引人注目的举措。

在Hoptner加入BitMEX时,该公司表示这表明该公司将探索“更广阔的视野”。尽管如此,也出现了挫折,包括最近的裁员和该公司取消对一家德国银行的收购。FX perps的推出反映了持续的战略,即为BitMEX的现有和新用户提供“更广泛的加密保证金合约,包括允许交易者访问一系列货币和商品的产品”。

BitMEX的Quants在一份声明中说:“对于机构用户来说,外汇永续合约提供了一种全新的方式来创建合成加密货币对以进行套利,例如,以非美元货币报价的比特币。”[2022/8/7 12:06:50]

阿根廷税务机构要求国内加密货币交易所报告月度交易和钱包余额:5月14日消息,阿根廷联邦公共收入管理局(AFIP)发布了一份“8126表格”,并将其转发给国内每一家运营的数字资产交易所,以遵守新规定。公司必须在报告月份后的下个月的15号之前填写表格。交易所应报告“用于识别每个客户的帐户列表;发生的注册,取消和修改;钱包的总收入,支出和最终每月余额”。支付网关Mercado Pago将受到AFIP的审查。(News.Bitcoin)[2021/5/14 22:02:22]

图1:中间人攻击示意图当下黑客以获取经济利益为目的时,中间人攻击就会成为对加密货币交易最有威胁并且最具破坏性的一种攻击方式。在一个数字资产机构的经营活动中,对于数字资产的动账请求通常涉及到不同权限级别的多人审核,并且这些人可能处于不同的地域、使用不同的客户端环境。从动账请求的审核授权到动用私钥签名,信息也会在机构内的多个系统之间流转。如果我们把交易的审核授权看做“会话”的一端,交易的签名执行看作“会话”的另一端,那么在这个交易的“会话”中,就存在着多种被实施“中间人攻击”的可能性。比如,黑客或内部作恶人员直接在后台数据库中插入一条伪造的审核授权交易请求,或者篡改交易的关键信息,如目标地址。让审核人员看到的交易信息与实际签名的交易信息不一致。

声音 | 比特币投资人Jeffrey Wernick:比特币是现有机构失败的结果:近日,比特币投资人Jeffrey Wernick接受采访时透露,“如果一个国家体系不脆弱,就永远不会有资本管制存在。如果现有体系不脆弱,比特币也将不会存在。比特币是现有机构失败的结果,人们不再信任任何现有机构。而这不是数字货币的错,这是机构本身的错“。[2018/7/6]

图2:机构现有在线提币流程及风险点机构钱包的端到端“所见即所签”功能如何防止中间人攻击?

艾贝链动创造性的将基于安全硬件的端到端“所见即所签”的能力引入到从交易审核到交易签名的环节当中。通过为审核人员配发专有的安全硬件设备签章盾,并在设备上对关键的交易信息如币种,目标地址,金额等进行指纹或按键等物理方式的确认,后由签章盾对经过确认的交易信息进行签名,发送给保管私钥的加密机设备进行签名,确保这个链路中无论经过多少环节多少系统流转,待签名的交易信息一定是经过审核人员“人为意志”的授权,且未被篡改的,从而杜绝任何一种形式的“中间人攻击”对交易进行伪造或篡改。

图3:“所见即所签”交易审核签名流程Neilson提到,艾贝链动基于硬件的端到端“所见即所签”功能,支持多人多级分布式授权管理,不仅能够大大提升机构内部私钥动用的安全性,还能够用于跨机构之间,比如,托管平台与客户之间。最后,Neilson再次强调,无论是通过金融级软硬件设计保护私钥,还是通过端到端的“所见即所签”功能保护交易过程的安全,都只是安全环节技术层。机构资产安全是一套系统工程,我们需要依据整体安全框架来统筹考虑,机构“资产”有何“脆弱性”,面临什么“威胁”导致了“风险”,采用何种安全“机制”消除或减少“风险”,最终保护资机构产安全。关于艾贝链动

艾贝链动是一家区块链领域安全产品与技术服务公司,以技术创新为驱动力,通过在金融、政企等领域的区块链安全技术研究和应用落地,致力于打造数字社会的信任基石,持续赋能数字化浪潮下的个人及企业。艾贝链动现已推出机构数字资产自托管解决方案“犀铠”、涉案虚拟货币取证提控系统“犀识”、反与资产追踪服务“犀溯”、区块链智能合约安全诊断服务“犀晓”等,并在多家企业和政府领域实现部署应用。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

Gate交易所DAO:DAOrayaki | Gas成本和选民参与

协议治理机制的选择对协议的成功和未来的发展路径有很大的影响。在诸如Compound的GovernorBravo之类的链式治理框架上,允许对提案结果进行无信任执行,这提供了更大的去中心化,但需要用.

[0:0ms0-1:223ms