Une résolution cryptographique du Nouvel An: modernisez l’infrastructure de sécurité

Une résolution cryptographique du Nouvel An: modernisez l’infrastructure de sécurité

Quelle crypto monnaie acheter aujourd hui

Il est prudent de dire que 2020 a été une année record pour l’espace des actifs numériques. Le Bitcoin (BTC) a dépassé son sommet précédent et de nombreuses autres crypto-monnaies importantes ont atteint leurs plus hauts niveaux depuis l’apogée de 2017 et début 2018. Dans le secteur des services financiers, des voix institutionnelles expriment un intérêt renouvelé pour les actifs numériques. La croissance et la maturation de cet espace ont été impossibles à ignorer, engendrant beaucoup d’optimisme chez ceux qui construisent les plates-formes et les systèmes sur lesquels il fonctionne.

Malheureusement, tous les titres de l’année écoulée n’ont pas été positifs. Plusieurs échanges cryptographiques bien connus et d’autres organisations ont été piratés, ce qui a entraîné des pertes importantes. Des événements comme ceux-ci sont non seulement préjudiciables à la réputation d’une entreprise et potentiellement dévastateurs pour les investisseurs, mais ils érodent également la confiance durement acquise dans l’espace des actifs numériques parmi les investisseurs institutionnels et le public.

Beaucoup de ces piratages auraient pu être évités si les entreprises en question avaient pris des mesures proactives pour moderniser leur infrastructure technologique. Alors que nous clôturons cette année tourbillonnante pour les actifs numériques, l’une des principales résolutions de l’industrie pour 2021 devrait être de réexaminer son approche de l’infrastructure et d’apporter des changements pour garantir que les investisseurs de tous bords puissent échanger et effectuer des transactions avec sécurité, efficacité et tranquillité d’esprit.

Passons en revue trois des événements de piratage les plus importants de 2020 et examinons comment une approche plus intelligente de l’infrastructure aurait pu conduire à un résultat différent.

KuCoin Hack: 275 millions de dollars de fonds clients volés

Le 25 septembre, l’échange de crypto KuCoin était la cible d’un piratage majeur qui affectait ses portefeuilles chauds Bitcoin, Ether (ETH) et ERC-20. Alors que l’analyse initiale suggérait que les pirates informatiques avaient volé environ 150 millions de dollars, les estimations ont commencé à augmenter dans les jours qui ont suivi, ce qui en fait l’un des plus grands événements de piratage de l’histoire des actifs numériques.

En relation: KuCoin hack déballé: plus de crypto éventuellement volé que prévu

En fait, le piratage était le résultat du vol de clés privées. Bien que toujours répandues dans l’espace des actifs numériques, les clés privées signifient qu’il y aura toujours un point de défaillance unique à travers lequel les mauvais acteurs peuvent revendiquer un accès sans entrave aux hot wallets. En termes simples, ils représentent un risque commercial.

Une meilleure approche aurait été de tirer parti des protocoles de calcul multipartites, qui éliminent le besoin de clés privées et signent chaque transaction de manière sécurisée et distribuée, associée à un mécanisme de gouvernance et de contrôle renforcé.

Dans l’affaire KuCoin, même si l’échange était violé, le pirate informatique ne serait pas en mesure d’exécuter une transaction non autorisée par le moteur de politique fourni par l’infrastructure.

Congélation de retrait OKEx

Pendant cinq semaines en octobre et novembre, les investisseurs n’ont pas pu effectuer de retraits sur l’échange de crypto-monnaie OKEx. Dans une lettre adressée aux clients, OKEx a révélé que l’un de ses détenteurs de clés privées coopérait à une enquête policière, ce qui les a tenus hors de contact avec l’entreprise et a empêché l’exécution de son processus d’autorisation multisignature.

Pour une plate-forme que les utilisateurs exploitent pour prendre des décisions d’investissement importantes, l’idée qu’une seule personne serait compromise pourrait entraîner la désactivation d’une fonctionnalité critique pendant plus d’un mois est clairement intenable.

Il y a une leçon ici: lorsque les entreprises utilisent des fonctionnalités de blockchain conçues pour la sécurité pour mettre en œuvre une politique, le résultat est une inflexibilité écrasante. C’est l’un des paradoxes de l’espace des actifs numériques – les transactions blockchain sont sécurisées et irréversibles, mais sans la bonne approche, cette même rigidité peut être un désastre si les choses tournent mal.

Pour éviter cela, les entreprises doivent s’assurer que leur infrastructure comprend un moteur de politique qui, sans compromettre la sécurité, permet un contrôle de politique plus flexible pour plusieurs approbateurs, y compris la séparation de la signature et de l’approbation des transactions. Avec ce type de solution en place, la capacité d’OKEx à fonctionner pleinement n’aurait pas dépendu de la disponibilité d’une personne clé.

Brèche Nexus Mutual: 8 millions de dollars volés

Ces événements de piratage ne se sont pas limités aux échanges, comme en témoigne la rupture de décembre de Nexus Mutual, une plateforme financière décentralisée qui sert d’alternative à l’assurance. Le pirate a réussi à accéder à l’appareil personnel du PDG Hugh Karp et à installer une version compromise de MetaMask, ce qui a conduit Karp à signer par inadvertance une transaction qui a envoyé 370 000 NXM, d’une valeur de 8,2 millions de dollars, à une adresse contrôlée par un attaquant.

Le problème ici a à voir avec les portefeuilles gérés localement. Ces portefeuilles locaux ne sont pas en mesure de fournir un moteur de politique hors bande, il n’y a donc aucun moyen de vérifier qu’un contrat et une adresse de contrepartie sont sur la liste blanche, que le montant et l’émetteur sont conformes à la politique de l’entreprise, ou qu’il y a des approbateurs supplémentaires pour certains. paramètres de transaction.

Faire appel à un tiers avec une approche plus flexible et sécurisée de l’infrastructure est le moyen de faire face à ces risques. Ceci est particulièrement important pour réduire la manipulation des adresses de contrepartie, qui est un risque dans de nombreux scénarios. Même dans le cas peu probable où un fournisseur comme celui-ci serait enfreint, des mesures de protection sont en place pour vérifier les adresses des contreparties, donnant aux entreprises plusieurs lignes de défense.

Conclusion

Alors que les actifs numériques ont pris un élan remarquable au cours des derniers mois, de nombreuses entreprises doivent encore améliorer leur infrastructure de sécurité avant que la véritable adoption des actifs numériques puisse commencer.

Cela ne vise pas à réprimander ces entreprises, qui continuent de faire un travail important pour servir l’industrie, mais à identifier où elles devraient se concentrer pour atteindre la croissance future et intégrer les actifs numériques au grand public.

Pour tous ces problèmes – sécurité à clé privée, structure d’autorisation, portefeuilles locaux et plus – il existe des approches qui peuvent conduire à des transactions plus efficaces et sans stress et moins de gros titres qui déclenchent l’alarme pour les investisseurs traditionnels que nous voulons tous atteindre.

Les opinions, pensées et opinions exprimées ici sont uniquement celles de l’auteur et ne reflètent ni ne représentent nécessairement les vues et opinions de Crypto.

Itay Malinger est co-fondateur et PDG de Curv, une société d’infrastructure de sécurité des actifs numériques. Il s’appuie sur plus de 15 ans d’expérience en cybersécurité dans les secteurs public et privé. Auparavant, Itay était directeur des produits de sécurité d’entreprise chez Akamai Technologies.