Basta você ter prestado atenção em eventos de segurança do Web3 para já ter visto esse tipo de cenário real: identidades na blockchain sendo extraídas em massa, certificados de assinatura sendo falsificados e alterados, plataformas de verificação centralizadas falhando e toda a cadeia sendo paralisada; muitos projetos armazenam dados de autenticação em servidores centralizados, e uma única violação pode levar ao vazamento total de identidades, ativos e registros de contratos. Esses métodos de ataque muitas vezes não são complexos, mas simplesmente exploram vulnerabilidades fatais, como a centralização da verificação, dados expostos e controle de permissões ineficaz.
Esses eventos não resultaram em desastres maiores, muitas vezes apenas por sorte. Mas eles expõem uma verdade:
A verificação na blockchain não é inerentemente segura; o sistema de confiança centralizado já é um alvo fixo para hackers.
Esta é a principal desvantagem da verificação tradicional na cadeia: com um centro, há um alvo; com custódia, há um backdoor.
Todas as identidades, assinaturas e credenciais são reunidas em um único servidor de verificação, os dados são carregados de forma unificada e os direitos são controlados de forma centralizada. Embora pareça simples e eficiente, isso concentra todos os riscos em um único ponto.
Se o centro de verificação for comprometido, todas as credenciais da cadeia se tornam inválidas, a identidade é falsificada, e os registros históricos são vazados, não há espaço para retroceder. Este não é um risco teórico; blockchains públicas populares, principais DApps e ferramentas de assinatura na cadeia já tiveram incidentes de segurança semelhantes.
E o Sign Protocol @SignOfficial desde a sua arquitetura base, abandonou completamente esse modelo de verificação centralizada.
Ele nunca teve um único centro de verificação que pudesse ser atacado de forma centralizada em seu design.
Cada certificação e assinatura na cadeia está vinculada a criptografia assimétrica e provas de conhecimento zero, informações sensíveis não são divulgadas, dados brutos não são expostos na cadeia, sendo usados apenas quando necessário para auto-prova matemática; a identidade e as chaves de credenciais são mantidas pelo usuário, não existindo a possibilidade de roubo pelo armazenamento na plataforma. A comunicação e a verificação são totalmente distribuídas, com implantação redundante em várias cadeias, não há um nó central que possa ser atacado de uma só vez, os atacantes não conseguem encontrar uma entrada concentrada para o tráfego da rede.
Quanto aos registros de credenciais e assinaturas na cadeia, baseados em armazenamento distribuído e consenso de múltiplas cadeias, nenhuma entidade única pode unilateralmente alterar ou excluir dados de certificação que já foram registrados na cadeia.
Sem um alvo central, sem backdoors de custódia, sem dados expostos.
De "verificação centralizada = ponto único de alto risco",
Transforma-se em "certificação distribuída = segurança nativa".
A confiança e a segurança da identidade na cadeia nunca foram construídas apenas com patches, mas sim com uma arquitetura bem definida. O que o Sign faz é tornar isso uma realidade.