Röportaj | Kripto kurtarma bir efsanedir, önleme anahtardır: Circuit

Kripto saldırılarının kurbanları, sık sık Circuit'in CEO'su Harry Donnelly'nin dediğine göre, ahlaksız kurtarma firmaları tarafından tekrar mağdur oluyorlar.

Özet

• Bir hack sonrası çoğu kripto kurtarma çabası boşuna, diyor Circuit CEO'su
• Kurtarma firmalarının %95'i avcı olabilir ve hiçbir destek sunmayabilir
• Önleme anahtar, çünkü $3B bu yıl hack'lerden kaybedildi.

Kripto benimsemesi artıyor ve giderek daha fazla insan katılıyor. Ancak, yıllarca süren yeniliğe rağmen, kripto hâlâ en savunmasız kullanıcılarından bazılarını mağdur etmeye devam ediyor. Yakın zamanda, bir ABD emeklisi, soğuk cüzdanını bilmeden tehlikeye atmasının ardından $3 milyon XRP kaybetti.

Olay, güvenliğin kripto para dünyasında hala en önemli konu olduğunu gösteriyor. Bu nedenle, crypto.news kripto güvenlik firması Circuit'in CEO'su Harry Donnelly ile konuştu. Bu yıl yalnızca hacklerden dolayı ekosistemin neden $3 milyar kaybettiğini ve neden geri dönüşün genellikle çok zor olduğunu açıkladı.

Crypto.news: Son zamanlarda bir güvenlik olayı yaşandı, bir cüzdan sahibi hayat tasarruflarını bir hack'te kaybetti. Bu, kripto varlık güvenliği hakkında bize ne anlatıyor?

Harry Donnelly: Bu XRP cüzdan olayı: iddialara göre bir ABD emeklisi yaklaşık $3 milyon XRP, emeklilik tasarruflarını kaybetti. ZacXBT bunu Twitter'da paylaştı. Mağdur, bir polis raporu vermeye çalıştığını ancak kanun uygulayıcılarına ulaşamadığını söyledi. Fonlar daha sonra yaklaşık 120 işlemde aklandı.

Tam olarak hangi vektörün kullanıldığına dair tam bir onayımız yok çünkü kurban kripto konusunda bilgili değil; adımları izlemek için dizüstü bilgisayarlarına erişim olmadan emin olmak zor. Ancak bu tür vakalar genellikle bir cihazı seed cümleleri ve diğer sırları tarayan kötü amaçlı yazılımlar içerir.

Bu durumda, kişi Ellipal'dan satın aldığı bir soğuk cüzdanı olduğunu düşünüyordu ama tohum ifadesini dizüstü bilgisayarına aktardı. Bu, soğuk depolamanın amacını bozar: tohum ifadesi internet bağlantılı bir makinede var olduğunda, donanım cüzdanının koruması etkili bir şekilde kaybolur.

CN: ZacXBT birçok kurtarma firmasının sorgulanabilir olduğunu söyledi. Sizin görüşünüz nedir?

HD: Tamamen adil. İnsanlar çaresiz olduğunda, kötü niyetli kişiler onlara saldıracaktır. En kötü aktörler çoğu zaman sayfalarını SEO optimizasyonu yaparak, birisi “çalıntı kripto para kurtarma” diye çaresizce aradığında ilk sırada görünmelerini sağlar.

Meşru kurtarma zor. Kripto, bir taşıyıcı varlıktır: anahtarın sahibi olmak, mülkiyet anlamına gelir. Bir banka ile iletişime geçip zincir üstü bir transferi geri alamazsınız. Meşru kurtarma firmaları genellikle yasalarla çalışan, blockchain adli bilişim araçları (Chainalysis veya TRM Labs gibi) kullanan, fonları izleyen ve yasal bildirimlerle borsa hesaplarını dondurmaya çalışan hukuki ofislerdir.

Ama bu sadece fonların işbirliği yapmaya istekli ve yetenekli bir KYC borsasına ulaşması ve yargı bölgesinin işbirliği yapması durumunda işe yarar. Saldırganlar genellikle fonları işbirliği yapmayan borsalara veya karıştırma hizmetlerine yönlendirir; geçen yıl, bu yöntemlerle varlıkların %5'inden azı geri alındı.

Avcı firmalar, temel taramalar için yaklaşık 10.000 $ gibi büyük ücretler talep edecek ve kurbanlara yanıltıcı bilgiler veren bir rapor üretecek. Örneğin, onlara Tornado Cash'e e-posta göndermelerini söylerler ki bu da faydasızdır.

CN: Görünüşe göre kurtarma zor bir ihtimal. Alternatifi nedir?

HD: Kurtarma olasılıkları düşük olduğu için, önleme kritik öneme sahiptir. Circuit, kaybı önlemeye odaklanır, hack sonrası kurtarmaya güvenmez. Fonlar bir cüzdandan çıktığında, kurtarma şansı düşüktür; hırsızlığı gerçekleşmeden durdurmak çok daha yüksek bir başarı olasılığına sahiptir.

İki kayıp modu vardır: (1) özel anahtarınıza erişiminizi kaybedersiniz ( fonlar erişilemez hale gelir ) veya (2) başka biri özel anahtarınızı elde eder ( fonlar çalınır ). Circuit, varlıkları doğrudan koruyarak her iki durumu da ele alır, yalnızca anahtarı korumak yerine.

Otomatik varlık çıkarma dediğimiz şeyi oluşturuyoruz. Sadece bir özel anahtarı korumak yerine, fonları önceden tanımlanmış bir yedek cüzdana aktaracak şekilde imzalanmış işlemleri önceden oluşturuyoruz. Bu işlemler önceden oluşturulur, şifrelenir ve saklanır — meşru kullanıcı bunları tetiklemediği sürece asla yayımlanmaz.

CN: Peki, o büyük kırmızı düğmeyi kim kontrol ediyor?

HD: Kullanıcı bunu kontrol eder. Web uygulamamıza girer, kimliğini 2FA kullanarak doğrular ve düğmeye basar. Bu, işlemi çözümler ve yayınlar, ve fonlar yedek cüzdana geçer.

Önceden imzalanmış işlemi şifreli olarak saklıyoruz, ancak kullanıcı tek başına bunu çözebilir ve tetikleyebilir. Kullanıcı, varış adresini önceden tanımlar ve bu adresi değiştiremeyiz. Bir kez imzalandığında, kilitlenir. Sistemimiz sadece bunu güvenli bir şekilde saklar ve kullanıcının ihtiyaç duyduğunda tetiklemesine izin verir.

CN: Bu hizmeti şu anda kim kullanıyor?

HD: Şu anda, sadece kurumlar ve işletmelerle çalışıyoruz. Henüz perakende kullanıcılarına hizmet vermiyoruz. Ortaklarımız borsa, varlık yöneticileri ve OTC masalarıdır. Bu kişiler büyük miktarları ve müşteri varlıklarını yönetiyor. Onlar için, kesinti veya erişim kaybı felaketle sonuçlanabilir.

Bir örnek Shift Markets'tır. Teknolojimizi birlikte çalıştıkları 150 borsa boyunca dağıtıyoruz. Bu borsaların, fonlara erişimlerini kaybetme lüksü yok, hatta birkaç saatliğine bile.

Kuruluşlar için bu sadece hırsızlığı önlemekle ilgili değil. Bazen birisi bir imza cihazını kaybeder veya Fireblocks gibi bir hizmet kesintiye uğrar. Bu, tüm operasyonları durdurabilir - ne yatırımlar ne de çekimler.

Circuit ile birkaç dakika içinde kurtulabilirler, günlerce kapalı kalmak yerine. Bu onlar için itibarı kurtarmak ve müşteri kaybında milyonlar tasarruf etmek anlamına gelebilir.

CN: Kullanıcılar yedek cüzdanlarını nasıl seçmelidir? Bu başka bir donanım cüzdanı, bir borsa hesabı veya bir saklayıcı mı olmalıdır?

HD: Harika bir soru. Yedek cüzdanın, birincil cüzdan kadar güvenli olmasını öneriyoruz. Bu, farklı cüzdan sağlayıcıları kullanmak, anahtarları farklı konumlarda saklamak ve altyapının aynı yerde bulunmadığından emin olmak anlamına gelir. Her iki anahtar setini de aynı kasada veya sunucuda istemezsiniz.

Ayrıca, herhangi bir tekil hata noktasını önlemek için - 4 göz veya 6 göz politikaları - oybirliği onaylarını zorunlu kılıyoruz. Çoğu büyük kurum zaten bu şekilde çalışıyor. Bazıları birincil ve yedek cüzdanlar için farklı MPC veya çoklu imza kurulumları kullanıyor. Diğerleri farklı güvenli tesisler veya hatta farklı yargı bölgeleri kullanıyor. Amaç şudur: Eğer bir sistemde bir felaket olursa, diğeri etkilenmez.

Ayrıca büyük sigorta şirketleriyle de çalışıyoruz ve bu, bir risk azaltıcı olarak tanınıyor. Birçok kripto sigorta talebi, kaybolan erişim veya çalınan fonlar içindir. Circuit'in teknolojisini ekleyerek firmalar daha düşük risk haline geliyor. Bu nedenle, sigorta sağlayıcıları bizi kullanan müşterilere indirimler sunuyor. Bu, sigortayı daha erişilebilir hale getiriyor ve dolayısıyla kriptoya daha fazla kurumsal sermaye getiriyor.

CN: Gerçekten kırmızı butonu kullanmak zorunda kalan birinin olduğu herhangi bir durum yaşadınız mı?

HD: Evet, kırmızı butonu kullandık, hem gerçek durumlarda hem de kontrollü testlerde. Hatta, fonları çalmaya çalışmaları için beyaz şapkalı veya simülasyon ortamlarında saldırganlara erişim vermeyi bile kasıtlı olarak denedik. Her seferinde, başarılı oldu. Mühendislik ekibimiz, uç durumları ve gerçek dünya tehditlerini kapsadığımızdan emin olmak için çok çalıştı.

Bu alandaki en büyük oyunculardan bazılarıyla bağımsız olarak test ettikleri üzerinde çalışıyoruz. Önümüzdeki bir veya iki ay içinde bu doğrulamaların bazılarını sergileyen bir kamu duyurusu yapacağız.

CN: Ve kurumlar için, tipik başarısızlık senaryosu nedir?

HD: Bu, cüzdan ayarlarına bağlıdır. Eğer Fireblocks gibi merkeziyetsiz hizmetler kullanıyorlarsa, kurum bir miktar sorumluluk taşır - Fireblocks kapalı veya erişilemez olsa bile cüzdanlarına erişebilmelidirler.

Eğer Coinbase veya Anchorage gibi tamamen saklama çözümleri kullanıyorlarsa, bu sağlayıcılar her şeyi uçtan uca yönetir. Ancak Fireblocks ile, anahtar parçalarına veya imza cihazlarına kendi güvenli erişiminiz hala gereklidir.

Yani Fireblocks'a bağımlı bir borsa hayal edin ve bir cihaz kaybederler - belki birinin telefonu ya da YubiKey'i. Bu, onları geçici olarak kilitleyebilir, çekimleri ve yatırımları durdurabilir.

CN: Daha önce saldırganların daha sofistike hale geldiğini belirtmiştiniz. Kripto endüstrisinin buna nasıl uyum sağladığına dair perspektifiniz nedir? Güvenlikte neler değişiyor?

HD: Web2 siber güvenliğine benzer; bir kedi-fare oyunudur. Yeni saldırılar ortaya çıkar, savunmalar inşa ederiz, saldırganlar tekrar evrim geçirir ve bu şekilde devam eder. Başlangıçta, büyük atılım çoklu imza (multisig) oldu, bu da işlemleri onaylamak için birden fazla anahtar gerektiriyordu.

Sonra çoklu taraflı hesaplamayı (MPC) destekleyen cüzdanlar ( geldi, bu da çoklu imzadan daha iyi bir çözüm sunuyor. Çoklu imza kurulumunda, üç anahtardan ikisinin ele geçirilmesi, üçüncüsü hakkında kısmi bilgi verir. MPC'de durum böyle değildir, çünkü her parça bütün hakkında hiçbir bilgi vermez, bu da onu daha dayanıklı hale getirir.

Fireblocks gibi şirketler MPC ile büyük başarılar elde etti. Bunun üzerine politika motorları geldi - belirli koşullar altında işlemleri engelleyen kurallar. Örneğin: “) milyon üzerindeki tüm transferleri engelle,” veya “beyaz listeye alınmamış adreslere transferlere izin verme.”

Sonra, zincir aktivitesini izleyen ve şüpheli davranışları işaret eden hizmetler olan tespit araçları geldi. Ancak, bugün bu araçların çoğu hala bir insanın uyarıya müdahale etmesini gerektiriyor. Bazı düzenlemelerde, ABD, Avrupa ve Asya'dan insanların onaylarını almanız gerekebilir, bu da saatler alabilir. Bu arada, saldırılar dakikalar veya hatta saniyeler içinde gerçekleşiyor.

Bunu SwissBorg/Kiln hack'inde gördük: $1 milyon üç dakikada kayboldu. İnsanlar bu kadar hızlı tepki veremez.

CN: Merkezi borsalar çalınan fonları dondurduğunda, insanlar genellikle anlar. Ancak DeFi protokolleri cüzdanları dondurduğunda veya akıllı sözleşmeleri duraklattığında, genellikle merkezileşme hakkında eleştiriler olur. Bu konudaki görüşünüz nedir?

HD: Bak, nihayetinde, eğer on milyonlarca veya yüz milyonlarca doların çalınmasını önleyebiliyorsanız ve bunun için bir akıllı sözleşmeyi birkaç saat kapatmanız gerekiyorsa, o zaman bunu yapmalısınız.

Merkeziyetsizliğin çok büyük savunucuları olduğunu biliyorum, ama merkeziyetsizlik, insanlar benimsemezse yerleşmeyecek. Ve insanlar, tüm fonlarını kaybedeceklerse bunu benimsemeyecekler. Sonuçta, bence bu kadar basit.

Eğer buna gerçekten inanıyorsanız ve bunun ana akım tarafından — gerçek işletmeler, gerçek kurumlar — benimsenmesini istiyorsanız, bunun güvenilir olması gerekiyor. Ve “sadece hacklenmesine izin verin” veya “kod yasadır” diyen tüm savunucular için, sorun şu ki, bu durum, alanın büyümesini, istediğimiz kadar büyümesini temelde durduracak.

Ve bence göreceğiniz iki alan var. Havuzlar ve protokoller, sadece oldukları gibi devam etmeye devam edecek — sadece her şeyin akmasına izin verecekler. Ve daha kurumsal ve işletme odaklı altyapılar olacak, burada koruma önlemleri var, burada güvenlik sistemleri var ve havuzlara entegre edilmiş sigorta var.

Bu zaten oluyor. Ve bu havuzlarda, gerçek sermayenin - kurumların - fonlarını yatırmaktan kendilerini güvende hissettikleri yerler olduğu için daha fazla likidite yatırımı göreceksiniz. DeFi'deki en büyük ağ etkisi nedir diye düşündüğünüzde, bunun büyük bir kısmı likiditeye dayanıyor.

Yani, likiditenin nereye gideceğine baktığınızda, zamanla, insanlara daha fazla güven veren güvenlik önlemleri ve kontrollerin olduğu yerlere kayması gerekir.

CN: Ama biri şöyle diyebilir, eğer bir protokol cüzdanları dondurma veya akıllı sözleşmeleri durdurma yeteneğine sahipse, havuzu boşaltma yeteneğine de sahip değil mi? Bu konuda ne düşünüyorsunuz?

HD: Evet, ve bunun adil bir nokta olduğunu düşünüyorum. Eğer birisi bunu durdurma ve güvenlik önlemleri koyma yeteneğine sahipse, bu aynı zamanda fonlarla istedikleri her şeyi yapabilecekleri anlamına mı geliyor?

Akıllı sözleşmelerin güzelliği — eğer doğru yaparsanız — değişmez ve şeffaf olmalarıdır. Önceden kesin parametreler tanımlayabilirsiniz. Kuralları katı bir şekilde kodlayabilirsiniz: bu ne zaman duraklatılır, neden duraklatılır ve fonlara ne olur?

Taşınıyorlar mı? Eğer öyleyse, nereye? Sadece belirli bir yere mi taşınabilirler? Duraklamadan sonra geri mi dönerler? Tüm bunlar kodlanabilir. Keyfi olmak zorunda değil.

Evet, insanlara istediklerini yapma konusunda tam kontrol verirseniz, bu pek iyi değil. İnsanlar bu protokollere fon yatırmak istemeyecekler. Ancak, mümkün olan şeyler üzerinde belirli tanımlanmış parametreler varsa — bunun bir parçası acil durumlarda dondurma veya duraklatmayı içeriyorsa — bu aslında insanlara daha fazla güven verir.

Çünkü en büyük protokoller bile — büyük bir TVL'ye sahip olan Euler gibi — hacklendi. Ve birçok denetim, kod incelemesi, her şey yapılmıştı. Ama yine de birinin istismar edebileceği küçük bir zayıflık vardı.

Bu şeyleri tespit etmede daha iyi hale geliyoruz, ama her zaman yeni sorunlar ortaya çıkacak. Ve senin dediğin gibi, bu bir kedi-fare oyunu. Bir savunma kuruyorsun, sonra biri yeni bir saldırı buluyor. Sonra yeni bir savunma kuruyorsun, ve böyle devam ediyor.

CN: Son zamanlarda düşündüğünüz ve endüstrinin göz ardı ettiğini düşündüğünüz bir şey var mı?

HD: İçsel olarak harcadığımız zamanın büyük bir kısmı kripto sigortasını gerçekten erişilebilir hale getirmekle ilgili — çünkü konuştuğumuz konulara geri dönersek, her zaman yeni saldırılar olacak ve ardından insanlar yeni savunmalar inşa edecek. Ama bu arada o boşluğu dolduracak bir şeyin olması gerekiyor.

Bence DeFi sigortası — Nexus Mutual'ın yapmaya çalıştığı gibi — insanların umduğu şekilde gerçekten ölçeklenmedi. Bunun büyük bir kısmı, anlamlı bir sigorta sunmak için arkasında devasa sermaye havuzlarına ihtiyaç duyulmasından kaynaklanıyor. Sigortanın işleyiş şekli de bu.

Geleneksel sigorta dünyası zaten rezervlerde milyarlarca dolara sahip. Riskleri nasıl değerlendireceklerini biliyorlar. Eğer bu oyuncuları kripto alanına çekebilirsek — ve onlara risklerin nasıl azaltıldığı konusunda güven verebilirsek — o zaman gerçekten büyük bir şeyi açığa çıkarırız.

Çünkü gerçek şu ki, büyük bankaların veya ciddi finansal kurumların DeFi ve on-chain finansmana dahil olmalarını istiyorsak, sigortaya ihtiyaçları olacak. Nokta.

Bu nedenle bunu mümkün kılabilirsek - eğer geleneksel sigortacılara risk fiyatlandırmak ve gerçekten teminat sunmak için ihtiyaç duydukları araçları ve verileri sağlayabilirsek - o zaman birdenbire, bu alana girmeye daha istekli birçok sermaye var.

Ve bu olduğunda, her şey büyür. Protokoller büyür, altyapı olgunlaşır, kullanıcılar fayda sağlar. Yani evet — bence gerçek kripto sigortasını açmak şu anda yapabileceğimiz en önemli şeylerden biri.