Bitfinex被盗会如何影响比特币多重签名方案

AI中国网 https://www.cnaiplus.com

“就算遇到黑客攻击，BitGo钱包解决方案也可以保证用户不会丢失比特币”。

Bitfinex首席财务官Giancarlo Devasini曾这样描述交易所的多重签名安全架构，而一年后最高调的黑客攻击就使它损失了6000万美元。

尽管我们知道多重签名账户被黑客攻击影响，我们仍然不知道漏洞是怎么发生的。很多人都不明白这个漏洞为如何影响多重签名技术。毕竟这曾被称为未来比特币安全性的创新。

本月4号最大多重签名应用供应商BitGo的联合创始人兼首席执行官Mike Belshe提供最新消息，解释在事件发生时，公司的软件“正常运转”。而且这两个合作企业都说当时BitGo及其多重签名解决方案没有发生故障。

但是很多人并不对此满意。在公众舆论的评判下，仍然无法确定谁该承担责任。

熟悉多重签名的人都说，它不应该是替罪羊，仍然应该是交易所安全的核心元素。

Jop Hartog

BlockTrail曾提供多重签名钱包，公司前首席开发者Jop Hartog说，相信交易所应该继续使用该技术，但是他们需要了解这不是单一的解决方案。

“交易所应该使用多重签名，为解决风险寻求恰当的解决方案，一旦他们知道自己需要什么，就会去寻找合伙人”。

“多重签名是目前交易所的唯一选择，但前提是安全地实施该技术”。

他的观点是多重签名提供配置灵活的安全模型，因为只有两个以上用户签署交易，才可以花费相应资金。

然而这个事故暴露了技术不像其底层基础设施那么强大。Adamant Research的Tuur Demeester说，这个事故是技术发展完善的一个过程。

“你认为自己有万能钥匙，结果发现它比你想象的要复杂的多”。

“多重签名受到创伤，必须重新构思”。

安全的多重签名

Bitfinex案例中使用了两种配置。

贷款进行保证金交易的用户把三个密钥分配出去，分别给Bitfinex、BitGo和自己。参与交易的用户则采取不同的方案，三人中的两人需要签名才能释放资金。BitGo有其中一个密钥，而Bitfinex有两个。

之前提到过似乎Bitfinex的密钥被盗，但是BitGo没有探测到这个异常活动是为了盗走交易所月交易量的六分之一。

非盈利机构Coin Center的研发主管Peter Van Valkenburgh说，Bitfinex本可以避免暴露多重签名的这个漏洞。

Peter Van Valkenburgh

他的博文描述了这样的安全场景，每个消费者拥有获取资金的“单边能力”，但是在客户丢失一个密钥的情况下，交易所或其他服务供应商就持有恢复密钥。

“如果服务供应商受到黑客攻击，被盗的密钥只是单个备用密钥。要想确实盗走比特币，黑客必须锁定和攻击每个客户，这比攻击单个服务器要难的多”。

尽管有人认为冷存储（比特币保存在线下，而不是联网的钱包）可能是更好的选择，Van Valkenburgh却认为多重签名的安全性与众不同。

他断言，没有哪种单一方案是最佳的。

“我可以把钱包的密钥放在USB中，藏在外甥女的玩具屋里。那是冷存储（玩具屋没有无线网），但是这同样是个糟糕的主意“。

Demeester承认多重签名同样存在固有限制。

“多重签名的问题是存在监守自盗的可能性，冒充者可能会假装成多重签名的一方”。

综合解决方案

另一方面安全技术不是互相排斥的。

Demeester说，攻击发生之后，冷存储等传统解决方案、比特币闪电网络等尖端科技很可能获得更多关注。

Blocktrail前首席技术官Ruben de Vries说，最安全的方案是结合多重签名与冷存储。

“显然多重签名钱包与冷存储的结合要比单一方案更有效。不幸的是，Bitfinex没有选择冷存储，原因也不清楚”。

去年Bitfinex不再使用冷存储，有些人猜测这可能与美国商品期货交易委员会（CFTC，Commodity Futures Trading Commission）的执法行动有关，公司被迫改变客户资金转移方式。

需要注意的是，我们不清楚之后交易所基础设施有什么变化。某个知名律所试图请求CFTC透露相关信息。

Rodolfo Novak

多重签名钱包Coinkite的首席执行官兼创始人Rodolfo Novak说，存储数字密钥的设备或硬件安全模块本可以解决这个问题。

“HSMs（硬件安全模块安全网）是唯一明智的管理资金的方式。如果Bitfinex终端有HSM，也许就可以更快地阻止交易”。

未知的影响

大家的共识似乎是，尽管多重签名可以增加安全性，但最佳的方案是结合其他技术和安全设备。

因此Belshe说，BitGo的其他交易所伙伴，包括Kraken和Bitstamp都以不同方式来部署软件。

“不幸的是，Bitfinex配置是独特的，BitGo其他客户不需要立刻调整”。

他认为应该把这次攻击看作交易所严查安全模式的机会，这样整个生态系统才能继续发展。

但是我们目前无法得知是否会采用BitGo或其他公司的多重签名解决方案。

AI中国网 https://www.cnaiplus.com

本文网址：