Безпечне та надійне управління активами у блокчейні: нове рішення
Вступ
З огляду на те, що ринок криптовалют увійшов у зимовий період, хакерські атаки поступово перемістилися від у блокчейні протоколів до особистих гаманців. У той же час, жорсткий цикл підвищення процентних ставок призвів до значного вилучення ліквідності, що стало причиною краху багатьох централізованих установ, серйозно зашкодивши активам користувачів. Останнім часом часто трапляються інциденти з безпекою, і після збільшення кількості випадків крадіжки активів, забезпечення безпеки активів стає особливо важливим, а децентралізовані рішення для управління безпечними активами отримують більше уваги.
Важливість автономії активів
Протягом тривалого часу багато користувачів обирали послуги централізованих установ для зручності, входячи в індустрію криптовалют. Однак у світі блокчейну існує відомий вислів: "Not your keys, not your coins"(. Лише маючи приватний ключ, можна контролювати активи). Обираючи централізовані установи, користувачі також жертвують певною безпекою; у разі кризи в установі активи користувачів стикаються з величезними ризиками. У недавньому випадку з однією торговою платформою ця платформа привласнила активи користувачів, що призвело до дефіциту в майже 60 мільярдів доларів, а кількість постраждалих у світі, за оцінками, досягає мільйона. Якщо б користувачі з самого початку навчилися управляти своїми активами за допомогою власного приватного ключа та зберігали б більшість активів у децентралізованих установах(, таких як апаратні гаманці, багатопідписні контракти тощо), це могло б значно зменшити такі втрати.
Однак, управління приватними ключами не є простою справою, оскільки воно включає в себе кілька аспектів безпеки та кращих практик, пов'язаних з генерацією, зберіганням, управлінням та використанням приватних ключів. У вересні 2022 року один із маркет-мейкерів через використання проблемного інструмента для генерації приватних ключів призвів до витоку приватного ключа власника відповідного контракту, що спричинило збитки в розмірі майже 160 мільйонів доларів США. У листопаді один відомий інвестор також став жертвою крадіжки на 42 мільйони доларів США через витік мнемонічної фрази гаманця. Ці події свідчать про те, що управління приватними ключами є складною справою.
У поточному середовищі використання послуг централізованих установ викликає величезну кризу довіри, а окреме управління приватними ключами стикається з багатьма викликами. Отже, чи існує спосіб, який дозволяє безпечно керувати своїми активами, не турбуючись про те, що витік одного приватного ключа призведе до втрати всіх активів?
Переваги та недоліки відомого мультипідписного рішення
Оскільки сам Ethereum не підтримує мультипідписи, користувачі не можуть безпосередньо створювати мультипідписні адреси, як у Bitcoin. Однак можна реалізувати мультипідписний гаманець у блокчейні за допомогою смарт-контракту. При виборі смарт-контрактного гаманця потрібно використовувати перевірені та довго перевірені зрілі рішення. Відоме рішення для мультипідпису безумовно є кращим вибором.
Ця схема дозволяє користувачам зберігати активи в мультипідписному контракті та налаштовувати правила підпису. Активи керуються кількома адресами, і кожна транзакція потребує багатостороннього підпису для виконання. Цей підхід може усунути ризик втрати всіх активів через витік одного приватного ключа.
Однак, цей варіант, підвищуючи безпеку, має деякі недоліки в зручності використання:
Кожна транзакція потребує кількох підтверджень, що знижує ефективність.
Не підтримується специфічна обробка децентралізації, усі члени мають однакові права.
Неможливо налаштувати конкретну стратегію ризик-менеджменту для інтерактивного контракту.
Отже, чи існують кращі багатопідписні продукти, які, зберігаючи первісну безпеку, вирішують ці недоліки? Одна безпекова компанія запропонувала нове рішення.
Гнучка децентралізація та нові рішення з управління ризиками у блокчейні
Компанія здійснила повторну розробку на основі вказаного вище мультипідписного рішення, використовуючи функцію розширення модуля, що дозволяє гнучко налаштовувати взаємодію між мультипідписним гаманцем та контрактом проекту. Нове рішення може надати наступні послуги:
одноосібне розподілення прав
Підтримка управління повноваженнями на рівні функцій дозволяє налаштовувати різні права взаємодії з функціями для конкретних ролей користувачів. Достатньо просто налаштувати в веб-інтерфейсі, щоб надати ролям користувачів права виклику для конкретних контрактів та конкретних функцій.
Наприклад, можна налаштувати роль harvester так, щоб вона могла викликати лише функцію вилучення прибутку певного DEX. При додаванні членів вказується роль користувача, і ця адреса може представляти мультипідписний гаманець для виконання конкретних викликів контрактів. Це дозволяє уникнути громіздкої процедури мультипідпису, підвищуючи ефективність операцій. Оскільки права доступу обмежені, навіть якщо обліковий запис зазнає атаки, це не загрожує основним активам гаманця, мінімізуючи операційні ризики.
ACL ризик-менеджмент
Окрім розподілу прав доступу на рівні функцій, нова схема також пропонує більш детальні ACL( списки контролю доступу) механізми ризик-менеджменту контрактів. Користувачі можуть налаштовувати будь-які правила розподілу прав та ризик-менеджменту відповідно до бізнес-сценаріїв, такі як:
Обмежити діапазон параметрів виклику контракту (, якщо вказано swap, дозволяється обробка лише кількох типів токенів ).
Обмежити кількість викликів певної функції контракту
Провести перевірку ризиків для взаємодії з контрактом (, наприклад, перевірити, щоб ковзання swap не перевищувало певний відсоток ).
Слід зазначити, що цей план, як важлива складова децентралізованого хостингу, має повністю відкритий код смарт-контрактів у блокчейні. Користувачі або треті сторони можуть провести аудит коду, щоб забезпечити відсутність ризику централізації.
Підсумок
Недавні інциденти безпеки попереджають нас, що незалежно від того, зберігаються активи в централізованих установах чи управляються приватними ключами самостійно, завжди існує певний ризик безпеки. Це спонукало всі сторони шукати кращі рішення для зберігання активів. Компанія, що випустила децентралізоване рішення для зберігання, розширила розроблене в індустрії зріле рішення з мультипідписом, пропонуючи більш гнучкі функції децентралізації та управління ризиками, краще збалансувавши суперечність між безпекою активів та їх зручністю, надаючи нові інструменти для управління коштами як для установ, так і для окремих осіб.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
15 лайків
Нагородити
15
4
Репост
Поділіться
Прокоментувати
0/400
CryptoTarotReader
· 08-04 21:22
Мій гаманець не може заснути.
Переглянути оригіналвідповісти на0
LiquidationTherapist
· 08-03 18:45
А як можна бути в безпеці, не передаючи Закритий ключ?
Переглянути оригіналвідповісти на0
SchrodingerWallet
· 08-03 17:24
Ну, я все ж найбільше боюся хакерів, замерзли руки і ноги~
У блокчейні управління активами новий варіант: Гаманець із кількома підписами + гнучкий розподіл ризиків
Безпечне та надійне управління активами у блокчейні: нове рішення
Вступ
З огляду на те, що ринок криптовалют увійшов у зимовий період, хакерські атаки поступово перемістилися від у блокчейні протоколів до особистих гаманців. У той же час, жорсткий цикл підвищення процентних ставок призвів до значного вилучення ліквідності, що стало причиною краху багатьох централізованих установ, серйозно зашкодивши активам користувачів. Останнім часом часто трапляються інциденти з безпекою, і після збільшення кількості випадків крадіжки активів, забезпечення безпеки активів стає особливо важливим, а децентралізовані рішення для управління безпечними активами отримують більше уваги.
Важливість автономії активів
Протягом тривалого часу багато користувачів обирали послуги централізованих установ для зручності, входячи в індустрію криптовалют. Однак у світі блокчейну існує відомий вислів: "Not your keys, not your coins"(. Лише маючи приватний ключ, можна контролювати активи). Обираючи централізовані установи, користувачі також жертвують певною безпекою; у разі кризи в установі активи користувачів стикаються з величезними ризиками. У недавньому випадку з однією торговою платформою ця платформа привласнила активи користувачів, що призвело до дефіциту в майже 60 мільярдів доларів, а кількість постраждалих у світі, за оцінками, досягає мільйона. Якщо б користувачі з самого початку навчилися управляти своїми активами за допомогою власного приватного ключа та зберігали б більшість активів у децентралізованих установах(, таких як апаратні гаманці, багатопідписні контракти тощо), це могло б значно зменшити такі втрати.
Однак, управління приватними ключами не є простою справою, оскільки воно включає в себе кілька аспектів безпеки та кращих практик, пов'язаних з генерацією, зберіганням, управлінням та використанням приватних ключів. У вересні 2022 року один із маркет-мейкерів через використання проблемного інструмента для генерації приватних ключів призвів до витоку приватного ключа власника відповідного контракту, що спричинило збитки в розмірі майже 160 мільйонів доларів США. У листопаді один відомий інвестор також став жертвою крадіжки на 42 мільйони доларів США через витік мнемонічної фрази гаманця. Ці події свідчать про те, що управління приватними ключами є складною справою.
У поточному середовищі використання послуг централізованих установ викликає величезну кризу довіри, а окреме управління приватними ключами стикається з багатьма викликами. Отже, чи існує спосіб, який дозволяє безпечно керувати своїми активами, не турбуючись про те, що витік одного приватного ключа призведе до втрати всіх активів?
Переваги та недоліки відомого мультипідписного рішення
Оскільки сам Ethereum не підтримує мультипідписи, користувачі не можуть безпосередньо створювати мультипідписні адреси, як у Bitcoin. Однак можна реалізувати мультипідписний гаманець у блокчейні за допомогою смарт-контракту. При виборі смарт-контрактного гаманця потрібно використовувати перевірені та довго перевірені зрілі рішення. Відоме рішення для мультипідпису безумовно є кращим вибором.
Ця схема дозволяє користувачам зберігати активи в мультипідписному контракті та налаштовувати правила підпису. Активи керуються кількома адресами, і кожна транзакція потребує багатостороннього підпису для виконання. Цей підхід може усунути ризик втрати всіх активів через витік одного приватного ключа.
Однак, цей варіант, підвищуючи безпеку, має деякі недоліки в зручності використання:
Отже, чи існують кращі багатопідписні продукти, які, зберігаючи первісну безпеку, вирішують ці недоліки? Одна безпекова компанія запропонувала нове рішення.
Гнучка децентралізація та нові рішення з управління ризиками у блокчейні
Компанія здійснила повторну розробку на основі вказаного вище мультипідписного рішення, використовуючи функцію розширення модуля, що дозволяє гнучко налаштовувати взаємодію між мультипідписним гаманцем та контрактом проекту. Нове рішення може надати наступні послуги:
одноосібне розподілення прав
Підтримка управління повноваженнями на рівні функцій дозволяє налаштовувати різні права взаємодії з функціями для конкретних ролей користувачів. Достатньо просто налаштувати в веб-інтерфейсі, щоб надати ролям користувачів права виклику для конкретних контрактів та конкретних функцій.
Наприклад, можна налаштувати роль harvester так, щоб вона могла викликати лише функцію вилучення прибутку певного DEX. При додаванні членів вказується роль користувача, і ця адреса може представляти мультипідписний гаманець для виконання конкретних викликів контрактів. Це дозволяє уникнути громіздкої процедури мультипідпису, підвищуючи ефективність операцій. Оскільки права доступу обмежені, навіть якщо обліковий запис зазнає атаки, це не загрожує основним активам гаманця, мінімізуючи операційні ризики.
ACL ризик-менеджмент
Окрім розподілу прав доступу на рівні функцій, нова схема також пропонує більш детальні ACL( списки контролю доступу) механізми ризик-менеджменту контрактів. Користувачі можуть налаштовувати будь-які правила розподілу прав та ризик-менеджменту відповідно до бізнес-сценаріїв, такі як:
Слід зазначити, що цей план, як важлива складова децентралізованого хостингу, має повністю відкритий код смарт-контрактів у блокчейні. Користувачі або треті сторони можуть провести аудит коду, щоб забезпечити відсутність ризику централізації.
Підсумок
Недавні інциденти безпеки попереджають нас, що незалежно від того, зберігаються активи в централізованих установах чи управляються приватними ключами самостійно, завжди існує певний ризик безпеки. Це спонукало всі сторони шукати кращі рішення для зберігання активів. Компанія, що випустила децентралізоване рішення для зберігання, розширила розроблене в індустрії зріле рішення з мультипідписом, пропонуючи більш гнучкі функції децентралізації та управління ризиками, краще збалансувавши суперечність між безпекою активів та їх зручністю, надаючи нові інструменти для управління коштами як для установ, так і для окремих осіб.