Cregis Research:Mixin被盗之后,加密托管何去何从

OKX欧易app

OKX欧易app

欧易交易所app是全球排名第一的虚拟货币交易所,注册领取6万元盲盒礼包!

APP下载   官网注册

前情回顾:Mixin是一个号称去中心化的资产管理网络,并通过私钥分片加密的方式保障资产安全。由于创始人和技术细节的关系,Mixin上线伊始就在安全和合规方面引起了不少讨论。

Mixin官方在2023年 9月25日上午10:50发表声明,Mixin Network云服务商数据库于2023年9月23日凌晨遭到黑客攻击,导致主网部分资产丢失。经由谷歌和慢雾初步调查,涉案资金约为2亿美元。

一片欢呼和期待中,BTC终于依靠现货ETF的消息面突破 30000 美元,但币圈朋友们想要实现财务自由,除了跟对行情趋势外,还要保护好自己的资产,否则即使BTC to da moon!也是竹篮打水一场空。Cregis总结了半个月前让大家哗然的Mixin被盗事件,希望能让大家在下一个牛市中更好地保管自己的数字资产!

Cregis Research:Mixin被盗之后,加密托管何去何从

(Mixin官方X发布被盗消息)

Binance CEO赵长鹏随即发布评论,对于MiXin“一个去中心化的点对点网络”有一个“数据库”,表示无法理解,并认为“并非所有声称去中心化的东西都是去中心化的”。

Cregis Research:Mixin被盗之后,加密托管何去何从

(CZ在X上质疑Mixin的去中心化程度)

所以,为什么一个号称去中心化的网络会被黑客攻击成功,而用户的资产又是如何被窃取的呢?

为了让大家了解来龙去脉,Cregis Reseach整理了三个关键信息:

Mixin项目的产品形态

首先,Mixin不仅是一个资管产品,整个项目由Mixin Network(BTC的名义账本)、Mixin Message(一个社交DAPP,号称对标微信)与Xin Token(Mixin Network的POS质押工具,也用于交易)

Mixin network的工作原理

Mixin Network的有两个核心组件:【Mixin全节点】和【MixinDomain】。

【Mixin Domain】是整个被盗事件的谜团核心!【Mixin Domain】实际上是一个类似热钱包系统的组件,为每个Mixin客户提供独立的比特币充值地址,并通过Distributed key generation(简称DKG,MPC的其中一种技术方案)方式将私钥进行分片,而密钥分片则由【Mixin Domain】和【Mixin全节点】共同管理。

用户向Mixin DAPP 的地址充值后,资产最后会归集到由【Mixin Domain】和【Mixin全节点】共同管理的多签地址中保存,然后将数量映射到Mixin network 和Mixin DAPP上。

Mixin 的危机伏笔也自此而生:

a)DKG分片方式并非正统的GG18 MPC方案,由于存在原始私钥,客观上就有内部 外部盗取资产风险;

b)密钥分片保存在【Mixin Domain】和【Mixin全节点】上,且Mixin官方白皮书明确表示有对分片进行备份,客观上存在内部 外部窃取分片进行多签交易的风险。(此处,也是云服务器数据被盗后导致用户BTC丢失的最大概率原因)

c)MixinDAPP上显示的客户资产并非真正的BTC,也不是经由智能合约执行跨链的xBTC,只是Mixin Network接收充值通讯后生成记账点数,和中心化交易所的账户余额并无差别。

Cregis Research:Mixin被盗之后,加密托管何去何从

(以Mixin message的发红包功能为例,模拟的Mixin产品工作流程)

Hacker盗取Mixin客户的BTC的N种方式

到这里,相信有经验的朋友已经知道Mixin的坑有多大了,而Cregis Reseach依然从内部作恶和外部作恶两个维度和大家梳理Mixin客户的BTC最有可能去了哪里:

一、内部作恶(两种方向)

如果Mixin network的工作流程确实与白皮书说描述的一致,那内部作恶的方向有两个:

a)项目方控制着2/3+1数量的全节点服务器,可以随时发起多签交易。Mixin目前运行节点约为35个,根据Mixin的核心代码配置文件猜测,Mixin团队自运营节点数约为27个。另外,由于想要运行【Mixin全节点】需要质押约200万美金的Mixin Token,而现实情况外部节点的数量远远不足,所以通过节点服务器发起多签攻击可以排除是外界所为。

Cregis Research:Mixin被盗之后,加密托管何去何从

Mixin network的官方配置文档

b)根据Mixin的官方白皮书,为了防止密钥分片丢失,Mixin会在官方服务器对于密钥分片进行多重备份。所以即使无法

控制全节点服务器签署交易,也可以使用备份私钥分片发起交易。

Cregis Research:Mixin被盗之后,加密托管何去何从

Mixin官方白皮书对密钥分片备份的描述

二、外部作恶(4种方向)

Cregis Research:Mixin被盗之后,加密托管何去何从

站在黑客的角度推理,打穿Mixin Network防御的途径如下:

a)攻破2/3+1数量的全节点云服务器;

b)打穿私钥分片备份服务器/数据库;

c)打穿【Mixin Domain】服务器/数据库,掌握大量充值地址的私钥后,窃取未归集的热钱包资产;

以上的纯技术路径看似简单,但要成功所需的工作量极大,实际上黑客也有更简单(碰运气)的办法,利用钓鱼邮件或网站,攻击Mixin的核心技术或者运维人员。一旦粗心大意的受害者上钩,黑客即可通过木马进入对方主机搜集云端服务器密码等信息,进行精准打击。

综上所述,虽然目前没有直接证据表明Mixin被盗属于监守自盗,但其技术实现的逻辑本身确实存在漏洞。

Mixin被盗事件,影响的绝不仅是资产丢失的客户。比特币诞生于人们对中心化金融机构的失望与反抗,理想家们希望创造一个无须信任+无法作恶的经济模型;但经历了十多年的发展,数字资产似乎依然无法摆脱中心化的管理套路。而大部分资产丢失的原因,核心依然是对错误的对象付出了信任。

安全与便捷,加密托管的天平终将摆向何方?

通过MiXin事件,我们发现任何人或机构,如果选择混合共管的方式保存自己的数字资产,其本质都是中心化资产管理方式。

在享受诸如便捷的社交登录、私钥恢复、账户找回等功能的同时,任何资产链上转移的行为都必须经由第三方协作,难免会存在着内在或外在的风险。

而Cregis的产品一直坚持客户自托管的安全策略,虽然会牺牲部分便利性,但可以确保客户无须担心自己的资产因Cregis而丢失,这个产品特点与对安全极度关注的企业级资金管理需求不谋而合。

而当一个Web3.0企业的规模发展壮大后,也许不再愿意依赖于资产托管服务商的服务器提供的功能,这个时候你需要Cregis的私有化部署功能。Cregis可以将从客户端到算法库到财务协作管理的全部源代码都授权部署到客户的服务器中,这些代码都经过审计,而且用6年时间证明自己没有安全漏洞。客户既拥有和硬件钱包一样的安全性,又能体验Cregis的丰富功能,而且如果没有软件升级和维护的要求,客户无需再与Cregis联系,可以完全保证自己的商业秘密。

Cregis Research:Mixin被盗之后,加密托管何去何从

安全性

Cregis的私有化部署在安全性方面将所有数据和交易活动限制在项目方机构私有服务器内,以确保了用户资产和数据的安全可控。这样的安全模型能有效阻隔各种外部威胁,包括但不限于黑客攻击、数据窃取或第三方服务的不稳定性。即使是Cregis也不能直接接触到用户的私钥分片。

这种独特的安全设计与市面上多数依赖于中心化托管或混合托管的解决方案形成鲜明对比。

独享服务器资源

随着数字资产和Web3.0应用的日益复杂和庞大,服务器资源的优化和管理变得尤为关键。在Cregis的私有化部署模式下,可以独享服务器资源,无需与其他客户或项目共享。

支持私有化定制

在日趋复杂的Web3.0环境中,标准化的解决方案往往难以满足所有机构或项目的特定需求。因此,Cregis不仅可以满足标准化需求,同时还能满足个性化需求。Cregis的私有化部署,支持高度可定制的财务协作管理功能和对特定业务需求的灵活定制。

一对一技术咨询服务

数字资产管理和Web3项目运营涉及多个复杂的方面,从交易执行和数据处理到安全防护和合规性。Cregis私有化部署不仅提供了强大的技术基础设施,还提供一对一技术咨询服务,无论您面临的是系统配置、交易确认还是安全防护方面的问题,专业的技术团队都能在第一时间给出解决方案。

钱包数量、地址和币种不受限制

Cregis私有化部署允许用户无限制地添加新的钱包和地址,这意味着您可以自由地管理各种不同类型的数字资产。

联系我们

官方网站|Twitter|Discord

本站所有软件信息均由用户上传发布,版权归原著所有。如有侵权/违规内容,敬请来信告知邮箱:764327034@qq.com,我们将及时撤销! 转载请注明出处:https://czxurui.com/zx/91814.html

打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023年10月20日
下一篇 2023年10月21日

相关推荐

  • 数字化财产有哪些,数据资产的特点有哪些

    一、数据资产的特点有哪些数据要素的鲜明特点包括可共享可复制,无限增长。数据资源具有可复制、可共享、无限增长和和供给的秉性,打破了自然资源有限供给对增长的制约。数据要素是推动经济增长的新引擎:数据要素作为数字经济最核心的资源,具有可共享、可复制、可无限供给等

    2024-12-22 01:30:01
    5 0
  • 锚定资产是什么意思,什么是锚定资产

    一、人民币的锚定物是什么为什么人民币锚定物是中国的国民财富,人民币是信用货币,是以国家信用为担保发行,不过这个信用可不是一个虚拟的名词,是以实打实的财富抵押发行的,人民币的发行主要是通过银行系统,包括央行和各级商业银行,这个过程是通过负债完成的,政府,企业

    2024-12-20 19:00:01
    6 0
  • 如何锚定资产,什么叫做资产锚定

    一、人民币的锚定物是什么为什么人民币锚定物是中国的国民财富,人民币是信用货币,是以国家信用为担保发行,不过这个信用可不是一个虚拟的名词,是以实打实的财富抵押发行的,人民币的发行主要是通过银行系统,包括央行和各级商业银行,这个过程是通过负债完成的,政府,企业

    2024-12-11 21:30:01
    19 0
  • 海南数字资产是什么,海交所是海南数字资产交易所吗

    一、海数所是什么平台可靠吗官方回答:海数所是一家基于数字经济背景与数字金融发展,以数字资产流转交易为核心,助力实体经济的数字资产化进程,打造面向全球的可信任的数字资产交易平台。首先,海数所的注册地在海南——一个交易所合规化的必争之地。我们都知道,海南一直都

    2024-12-09 03:30:02
    27 0
  • 加秘数字资产是什么,什么是加密数字资产

    一、区块链加数字资产是什么(区块链上的数字资产)什么是数字资产数字资产是指企业拥有或控制的,以电子数据的形式存在的,在日常活动中持有以备出售或处在生产过程中的非货币性资产,现在的数字资产,更多的和区块链技术联系在一起,比如数字货币比特币、瓦特币。数字资产的特

    2024-12-05 14:30:01
    24 0
  • 虚拟资产官网什么,中国的虚拟资产是什么意思

    一、什么虚拟资产虚拟资产虚拟资产是一种非实物形式的资产,主要存在于电子设备或网络中。详细解释:1.定义与特性:虚拟资产是一种没有实物形态,以电子数据形式存在于计算机、服务器或云端的资产。它具有高度的灵活性和便捷性,可以通过网络进行快速传输和交换。与传统的实物

    2024-12-03 23:00:02
    28 0

发表回复

8206
验证码

评论列表(0条)

    暂无评论

ok交易所
已有100万用户加入ok交易所

立即下载