Staking:机构钱包私钥动用的关键安全逻辑——端到端“所见即所签”_Restart Energy MWAT

上一期结合8月Liquid和Bilaxy两个交易所热钱包被攻击事件，艾贝链动CTONeilson主要分析了金融级安全芯片软硬件设计如何保护机构钱包私钥的全生命周期安全。本期艾贝链动CTONeilson将继续介绍机构钱包私钥高频使用的安全逻辑，解读机构经营过程中如何实现频繁操作的安全性和易用性。

金融级安全芯片，实现了对私钥从产生、存储到签名运算的安全性保护。但这对于机构用户，特别是围绕数字资产开展金融服务的经营性机构，还是不够的。机构对数字资产的动用需求，通常在不同角色的多人、多地、多系统之间流转。这个过程中，还会面临其他维度的安全威胁，比如，黑客通过提前注入的木马程序“篡改”关键交易信息，将资金悄悄转入自己的目标地址；或者通过获取内部管理人员权限，向数据库中插入一笔“伪造”的授权交易。对交易的伪造或者篡改，都属于“中间人攻击”的范畴。

中非共和国立法机构已批准将土地和自然资源的代币化:8月24日消息，中非共和国创建加密中心的Sango计划团队表示，该国立法机构已通过《代币化法案（Tokenisation Law）》，批准将土地和自然资源的代币化。此外，该法律还为国内和国际公司简化在线营业执照和电子签证申请奠定了基础。Sango团队表示，一旦获得许可证，企业就可以在Sango平台上利用区块链进行运营。[2023/8/24 18:19:23]

什么是“中间人攻击”，攻击逻辑如何实现？

中间人攻击是一种网络攻击类型，当数据离开一个端点前往另一个端点时，传输过程的时间便是对数据失去控制的时候。当一个攻击者将自己置于两个端点并试图截获或阻碍数据传输时，便称为中间人攻击。通信的两方认为他们是在与对方交谈，但是实际上他们是在与黑客交流。类似于我们通俗理解的信息被“窃听”。

动态 | 报告：比特币可以改善机构投资组合的风险和收益回报状况:投资管理公司VanEck公司最近发布了一份名为《比特币的投资案例》(The Investment Case for Bitcoin)的报告，该报告强调了比特币的货币价值及其作为当今市场重要价值储存手段的特点。根据研究，比特币具有内在的货币价值，而不是内在价值，因为比特币没有任何支撑。根据行为经济学，货币价值（MV）是在资产具有集体信念时附加在资产上的。研究报告称，当资产像比特币一样稀缺、耐用且具有很强的隐私性时，MV也会出现。和比特币一样，黄金也有显著的MV值，这说明并强调了比特币作为“数字黄金”的潜力。尽管有这些特点，但由于比特币作为一种无记名资产的性质，它在机构投资者中的风险敞口还不够大。缺乏主要的托管机构、清算实体、结算实体和转移目标也不利于比特币在资本市场的发展。比特币在链上和链外的MV都有所增加，但报告也指出，比特币过去的市场表现使其能够很好地适应投资组合媒介。该报告将比特币与传统资产类别进行了比较，发现比特币在短期和长期的表现都超过了主要资产指数。比特币在过去30天里上涨了30%，而标准普尔500指数仅上涨了2.21%。比特币的估值在1年期、3年期和5年期也超过了主要传统资产，美国债券和ACWI未能跟上这一趋势。因此，该研究认为，比特币可以改善机构投资组合的风险和收益回报状况。（AMBCrypto）[2020/2/6]

图1：中间人攻击示意图

动态 | ChainUP荣获2019年“最佳技术服务机构”和“区块链百强企业”奖项:?2019年12月27日，由金色财经主办的“与时共创”颁奖盛典在京举行。ChainUP以夯实的技术服务，丰富的行业经验荣获“最佳技术服务机构”和“区块链百强企业”双奖项。

ChainUP是全球领先的区块链技术服务商，拥有成熟完善的区块链技术解决方案，目前已为全球500多家客户提供了技术服务，覆盖东南亚、欧美、中东等地区20多个国家，5000多万用户。

据了解，金色财经“与时共创”颁奖盛典邀请国内外百余家知名区块链企业、300多名行业领袖、众多产业上下游服务机构代表等业界知名人士共同见证。并邀请40余名资深行业专家作为专业评选团，结合网络投票进行综合评审，通过不同的奖项，对各个企业对实现赋能实体创新引领行业未来发展的努力进行表彰。[2019/12/27]

当下黑客以获取经济利益为目的时，中间人攻击就会成为对加密货币交易最有威胁并且最具破坏性的一种攻击方式。

动态 | 比利时金融监管机构就131个不受监管的加密网站向投资者发出警告:金色财经报道，比利时金融监管机构金融服务和市场管理局（FSMA）近日宣布，禁止在该国投资运营的多个加密货币平台在不遵守比利时金融法规的情况下进行未经授权的活动。FSMA同时标记了131个不受监管的加密网站并表示，为了在交易数字资产时获得证券法提供的保护，投资者应使用在FSMA注册的平台或实体。[2019/10/30]

在一个数字资产机构的经营活动中，对于数字资产的动账请求通常涉及到不同权限级别的多人审核，并且这些人可能处于不同的地域、使用不同的客户端环境。从动账请求的审核授权到动用私钥签名，信息也会在机构内的多个系统之间流转。如果我们把交易的审核授权看做“会话”的一端，交易的签名执行看作“会话”的另一端，那么在这个交易的“会话”中，就存在着多种被实施“中间人攻击”的可能性。比如，黑客或内部作恶人员直接在后台数据库中插入一条伪造的审核授权交易请求，或者篡改交易的关键信息，如目标地址。让审核人员看到的交易信息与实际签名的交易信息不一致。

机构钱包的端到端“所见即所签”功能如何防止中间人攻击？

艾贝链动创造性的将基于安全硬件的端到端“所见即所签”的能力引入到从交易审核到交易签名的环节当中。通过为审核人员配发专有的安全硬件设备签章盾，并在设备上对关键的交易信息如币种，目标地址，金额等进行指纹或按键等物理方式的确认，后由签章盾对经过确认的交易信息进行签名，发送给保管私钥的加密机设备进行签名，确保这个链路中无论经过多少环节多少系统流转，待签名的交易信息一定是经过审核人员“人为意志”的授权，且未被篡改的，从而杜绝任何一种形式的“中间人攻击”对交易进行伪造或篡改。

图3：“所见即所签”交易审核签名流程

Neilson提到，艾贝链动基于硬件的端到端“所见即所签”功能，支持多人多级分布式授权管理，不仅能够大大提升机构内部私钥动用的安全性，还能够用于跨机构之间，比如，托管平台与客户之间。最后，Neilson再次强调，无论是通过金融级软硬件设计保护私钥，还是通过端到端的“所见即所签”功能保护交易过程的安全，都只是安全环节技术层。机构资产安全是一套系统工程，我们需要依据整体安全框架来统筹考虑，机构“资产”有何“脆弱性”，面临什么“威胁”导致了“风险”，采用何种安全“机制”消除或减少“风险”，最终保护资机构产安全。

关于艾贝链动

艾贝链动是一家区块链领域安全产品与技术服务公司，以技术创新为驱动力，通过在金融、政企等领域的区块链安全技术研究和应用落地，致力于打造数字社会的信任基石，持续赋能数字化浪潮下的个人及企业。艾贝链动现已推出机构数字资产自托管解决方案“犀铠”、涉案虚拟货币取证提控系统“犀识”、反与资产追踪服务“犀溯”、区块链智能合约安全诊断服务“犀晓”等，并在多家企业和政府领域实现部署应用。

标签：StakingAKISTASTAKLiquid Staking DerivativeShakita InuRestart Energy MWATASTAKE

Polygon热门资讯