怎么样防止Bitfinex偷窃案第三发生?金库策略可以做到

时间:2021-07-20 23:27       来源: www.ikeydo.com

看着时候应该做些什么。

BTC的不可逆性对其目的用案例是绝对要紧的:你不信赖的商人从事非国家批准的商业。所以BTC永远不可以分叉,以免失去它促进暗网而获得的特殊且来之不容易的声誉。

BTC开发者建议的一个选择是尝试软分叉,矿工阻断窃贼移动资金并允许Bitfinex重复消费这部分币,重组区块链使这次偷窃未发生过。这是可以想象的,由于BTC挖矿现在这样的集中。但这个想法是不成立的,由于数学函数非常长一段时间都是偏向窃贼的。是的,BTC矿工确实掌控者哪些买卖可以进入区块链,并且某人确实可以贿赂矿工来重组区块链。但窃贼可以给矿工更多贿赂,由于他们不需要支付区块链的追溯重组。在极限状况下,矿工和窃贼会把打劫的资金给分掉。这就像是实验心理学家喜欢与大学生玩的一种赌注,比如心理学家给一个学生20USD,假如该学生可以向其伙伴价格,假如该伙伴同意,那样该学生就可以留下剩余的部分。

另一个选择是与黑客讨价还价。这一对话需要在公开进行,通过社交媒体,这将会让人很尴尬。当你没任何筹码时,与其他人谈判是很愚蠢的。上一次黑客同意如此的处置方法时,他最后落了个被起诉的下场。和心理学实验一样,假如黑客为你提供1USD,你应该同意它,不然,你什么都得不到。

或许是这里需要的是一个策略——当与陌生人交际时,不会破坏BTC太重要的不可逆性,但允许在黑客事件中有人收回他的资金。

那样这种解决方法如何弄?这看着从根本上就存在冲突。并没对‘黑客’的概念,所以无限制的撤销机制势必打破不可逆性。

但事实上有一个解决方法。

假设我指定一些我的资金存储在一个特别标记的冷储存竞价推广账户中,或者让大家称之为金库(vault)。当进行支付的时候,我需要将资金从我的金库中转移到一个一般钱包,这一转移过程所需的时间,大家说它为一天。企业从来不会同意直接从金库的支付;他们用一般的BTC地址,支付也以常规的不可逆的方法进行。但金库的特别之处在于它有两个密钥。一个被用来解锁金库,将资金转移到一个一般钱包。另一个密钥叫做找回密钥,被用于当你注意到资金被黑,被黑客从金库中转出时。然后你可以用你的找回密钥撤销黑客的转移——你有24小时的时间来注意到被黑,并发动找回,拿回所有些资金。

注意,你不可以用这个把戏愚弄一个商人,并恢复一个真的的买卖。你所能做的就是把你一个人的钱从一个试图偷它的人身上拿回来。假如我可以如此说,这是一个很巧妙的计划。就像是某人应该对这个计划进行研究。

事实上已经有人对如此的计划进行了研究。这人就是Malte Moeser, Ittay Eyal和我一个人。大家的有关文件在去年2月举行的同行评审BTC研讨会上就已经公布了。

但BTC的世界陷入无止境的区块大小的争论。这种金库的想法几乎无人讨论。各种团体只不过围绕着扩容研究了各种路线图,由于扩容问题被觉得是BTC的阿喀琉斯之踵(唯一致命的弱点)。嗯,不为人知的事实是,阿喀琉斯有两个脚后跟,BTC也是这样:扩容和安全性。金库解决了后一个问题,金库通过一种明确的方法解决这个问题,与BTC的用案例一致。

另外,金库的美妙之处在于即便是出口骗局或者内部攻击致使的偷窃,金库仍旧可以有效工作。事实上,金库减少了这部分攻击出现的可能性。

所以,祝愿那些在Bitfinex上丢钱的同志下面可以好运。期望在大家为BTC部署安全手段之前,不会再看到另一场BTC交易平台大劫案。

最大的BTC交易平台之一,Bitfinex被黑了,总共损失了119,756比特币,这可是价值近6000万USD啊。而参考一下,最大的实体银行打劫案——1997年邓巴装甲车打劫案,按今天的USD价格,也才2800万USD。所以,BTC银行偷窃就是今天所要讲的内容。

有人说,Bitfinex失窃案是近一年半以来第一个大规模BTC偷窃案。这是完全错误的。今年早期,ShapeShift被攻击,更早一些,Cryptsy被攻击。当然,再往前还有Mt.Gox,与Poloniex和其他数不清的案件。大型BTC打劫名单太长了,在此没办法一一列举。

非常明显,任何交易平台的默认的低能量状况就是一个被耗尽的瘪壳,一个梦想的墓地,悲伤地提醒了大家计算基础设施的不靠谱性和不安全性。BTC并没什么特别之处——大家都见过银行,甚至中央银行都是可破解的。然而一般的银行可以跟踪资金和撤消买卖,BTC的不可逆性使得BTC交易平台有利可图,成为软目的。由此产生的故事,比如某人由于BTC失窃而失去了过去十二年的所有积蓄,这确实是让人心碎。

现在要从Bitfinex灾难的灰烬中弄出一连串是什么原因还为时过早。毫无疑问,将会有一些人会指责政府的监管,由于美国政府对Bitfinex的运营进行干涉,罚款和整改。但以我来看,政府的干涉相当的小。第一,政府对Bitfinex的罚款仅仅只有轻微的75,000USD,等于一个开发职员3个月的工资,导致开发者三个月没开发一些必要的密钥管理结构。第二,政府确定了Bitfinex并没把他们的资金放在一个主综合竞价推广账户,而是放在了每个用户在Bitfinex注册的多签名竞价推广账户中。本质上来讲,监管机构期望看到每个币被发送给个人,而不是全部放在一个大池里。这个小小的会计就是监管机构所需要的,监管机构通常情况下好像一无所知,并且当安全手段实行之后就消失在视线中了。然后,所有有关保护私钥的决定都落在Bitfinex这边。

基于信誉,Bitfinex确实将资金转移到了由BitGo负责保护的多重签名竞价推广账户,Bitfinex将用户私钥放在BitGo,需要转移资金的时候就向BitGo需要第二个签名。

假如某人盲目猜测,就会被怀疑是黑客获得了Bitfinex持有些私钥,加上访问BitGo的API来指导BitGo来对取款进行签名。额外的诡计可能还会被用于避开BitGo每天取款限额。

打劫一家BTC交易平台就相当了解了。你无需头戴丝袜,提着枪,拿着麻袋来抢这部分现代花式银行。你无需劫持人质,枪击保卫,或者穿着西服在华盛顿西部从飞机上跳下。演出相当容易,脚本小鬼可以对新的的攻击目的在安全邮件列表上贴上标签,只须在宿舍就能发动一次最新的攻击。当然,一些国家级别黑客组织(数目达到成千上万,拥有破解许可证)吃顿午饭就能发动如此的攻击。

此文出于传递更多信息之目的,并不意味着同意其看法或证实其描述。本网站所提供的信息,只供参考之用。

相关推荐