12 grudnia 26 dnia, pewien duży gracz w dziedzinie bezpieczeństwa ujawnił, że Trust Wallet w wersji zaktualizowanej 24 grudnia został zainstalowany z tylnym wejściem, a hakerzy zbierają różne informacje prywatne użytkowników portfela (w tym frazy odzyskiwania), co obecnie spowodowało straty użytkowników przekraczające dwa miliony dolarów.
To zdarzenie z wtyczką przeglądarki Trust Wallet w zasadzie nie jest nowe, ale ponownie ujawnia systemowy problem poprzedniej generacji modeli portfeli: granice bezpieczeństwa nie są pod kontrolą użytkownika.
1. Rzeczywiste punkty ryzyka portfela wtyczkowego nie są w 'jak go używasz'
Wiele dyskusji skupia się na 'czy użytkownik zaimportował frazę odzyskiwania' 'czy to przypadkowe działanie', ale z perspektywy inżynieryjnej, klucz do tego zdarzenia nie leży w zachowaniu użytkownika, ale w samej mechanice aktualizacji. Wtyczkowe portfele przeglądarki mają nieunikniony fakt:
Każda automatyczna aktualizacja to pełne upoważnienie do całego majątku użytkownika.
Dopóki kod w pakiecie aktualizacyjnym zostanie zastąpiony - niezależnie od tego, czy to problem wewnętrzny zespołu, czy bardziej powszechne i niebezpieczne ataki na łańcuch dostaw (CI/CD, środowisko budowy, kanał wydania został naruszony) - złośliwa logika zostanie wykonana bez wiedzy użytkownika.
Co ważniejsze:
Tego rodzaju atak wpływa nie tylko na scenariusz portfela wtyczkowego jako gorącego portfela
Nawet jeśli tylko używasz wtyczki do 'połączenia z portfelem sprzętowym', to również jest skuteczne
Ponieważ wtyczka kontroluje:
Zawartość transakcji, którą widzisz
Adres, który potwierdzasz
Kontekst przed i po twoim podpisie
Portfel sprzętowy może jedynie zapewnić, że 'klucz prywatny nie opuszcza układu', ale nie może zagwarantować, że podpisujesz tę transakcję, którą 'myślisz', że podpisujesz, dlatego ataki na łańcuch dostaw przez długi czas uważane były w dziedzinie portfeli za najwyższe ryzyko i najniższą możliwość obrony.
Dwa, zalety portfela Passkey nie polegają na tym, że jest 'bezpieczniejszy', lecz na tym, że zmienia model zagrożeń
Porównując portfel Passkey, nie chodzi o to, że 'obrona jest silniejsza', lecz o to, że nie opiera się na tym samym zestawie założeń ryzyka: brak 'kluczy prywatnych, które mogą być skradzione'.
W modelu portfela Passkey:
Brak frazy pomocniczej
Brak eksportowalnych kluczy prywatnych
Nie istnieje żaden statyczny sekret, który mógłby zostać skopiowany, przeniesiony lub masowo skradziony
Nawet jeśli atakujący kontroluje front, jest bardzo trudno zrealizować krok 'przeniesienia aktywów', ponieważ: nie ma celu ataku, który kończy się po 'skopiowaniu'.
To bezpośrednio eliminuje najgroźniejszy pojedynczy punkt awarii portfela wtyczkowego.
Trzy, dalsza innowacja zCloak.Money
Na modelu bezpieczeństwa portfela Passkey, zCloak.Money wymaga dalej: front nie może być cicho zmieniony.
Innym zagrożeniem związanym z portfelami wtyczkowymi jest to, że interfejs, który widzi użytkownik, sam w sobie jest powierzchnią ataku, adres, kwota, upoważnione podmioty, wszystkie pochodzą z logiki renderowania frontu.
Gdy tylko front zostanie zastąpiony, 'potwierdzenie użytkownika' traci sens.
Logika projektowania portfela zCloak.Money jest:
Kluczowe interakcje są związane z komponentami bezpieczeństwa na poziomie systemu
Interfejs frontowy nie może być cicho zastąpiony przez osoby trzecie
Żadne nietypowe zachowanie nie może wystąpić w sytuacji, gdy 'użytkownik nie odczuwa tego'
To oznacza: ataki na łańcuch dostaw nie są już 'ciche'.
Cztery, tego typu wydarzenia powtarzają się, w rzeczywistości już dały odpowiedź
Jak w przypadku Trust Wallet, to nie jest odosobniony przypadek; w ciągu ostatnich kilku lat prawie wszystkie główne portfele wtyczkowe doświadczyły:
Wypadek aktualizacji
Zależności zostały zanieczyszczone
Środowisko budowy zostało naruszone
lub 'po fakcie trudno powiedzieć, kto za to odpowiada' szare wydarzenie
To wskazuje, że problem nie leży w jednej drużynie, lecz w pokoleniu architektury, logika bezpieczeństwa poprzedniej generacji portfela była: 'Staramy się nie popełniać błędów'.
A logika bezpieczeństwa portfela Passkey jest: 'nawet jeśli jakiś element zawiedzie, nie spowoduje to bezpośredniego przejęcia aktywów.'
Pięć, wnioski
Znaczenie portfela Passkey nie polega na tym, 'kto miał rację w tym wydarzeniu', lecz na tym, że udowodnił jedną rzecz:
W świecie oprogramowania silnie zautomatyzowanego, polegającego na łańcuchu dostaw, poleganie na tym, że 'kod wtyczki nigdy nie zostanie zastąpiony' jest z samej istoty nierealistyczne.
Portfel Passkey nie tylko potrafi odeprzeć ataki, ale także zasadniczo eliminuje większość z nich.
Dalsze czytanie:
Portfel Passkey: moment 'Tesli' portfeli kryptograficznych
#zCloakNetwork #Passkey钱包 #TrustWallet
Zawartość IC, którą się interesujesz
Postęp technologiczny | Informacje o projekcie | Globalne wydarzenia
Obserwuj kanał IC na Binance
Zdobądź najnowsze informacje
