Cregis Research:Mixin被盜之後,加密托管何去何從

2023-10-21 00:10:07

前情回顧: Mixin 是一個號稱去中心化的資產管理網絡,並通過私鑰分片加密的方式保障資產安全。由於創始人和技術細節的關系,Mixin 上线伊始就在安全和合規方面引起了不少討論。

Mixin 官方在 2023 年 9 月 25 日上午 10: 50 發表聲明,Mixin Network 雲服務商數據庫於 2023 年 9 月 23 日凌晨遭到黑客攻擊,導致主網部分資產丟失。經由谷歌和慢霧初步調查,涉案資金約為 2 億美元。

一片歡呼和期待中,BTC 終於依靠現貨 ETF 的消息面突破 30000 美元,但幣圈朋友們想要實現財務自由,除了跟對行情趨勢外,還要保護好自己的資產,否則即使 BTC to da moon !也是竹籃打水一場空。 Cregis 總結了半個月前讓大家譁然的 Mixin 被盜事件,希望能讓大家在下一個牛市中更好地保管自己的數字資產!

(Mixin 官方 X 發布被盜消息)

Binance CEO 趙長鵬隨即發布評論,對於 MiXin“一個去中心化的點對點網絡”有一個“數據庫”,表示無法理解,並認為“並非所有聲稱去中心化的東西都是去中心化的”。

(CZ 在 X 上質疑 Mixin 的去中心化程度)

所以,為什么一個號稱去中心化的網絡會被黑客攻擊成功,而用戶的資產又是如何被竊取的呢?

為了讓大家了解來龍去脈,Cregis Reseach 整理了三個關鍵信息:

  • Mixin 項目的產品形態

    首先,Mixin 不僅是一個資管產品,整個項目由 Mixin Network(BTC 的名義账本)、Mixin Message(一個社交 DAPP,號稱對標微信)與 Xin Token(Mixin Network 的 POS 質押工具,也用於交易)

  • Mixin network 的工作原理

    Mixin Network 的有兩個核心組件:【Mixin 全節點】和【Mixin Domain 】。

    【Mixin Domain】是整個被盜事件的謎團核心!【Mixin Domain】實際上是一個類似熱錢包系統的組件,為每個 Mixin 客戶提供獨立的比特幣充值地址,並通過 Distributed key generation(簡稱 DKG,MPC 的其中一種技術方案)方式將私鑰進行分片,而密鑰分片則由【Mixin Domain】和【Mixin 全節點】共同管理。

    用戶向 Mixin DAPP 的地址充值後,資產最後會歸集到由【Mixin Domain】和【Mixin 全節點】共同管理的多籤地址中保存,然後將數量映射到 Mixin network 和 Mixin DAPP 上。

    Mixin 的危機伏筆也自此而生:

    a)DKG 分片方式並非正統的 GG 18 MPC 方案,由於存在原始私鑰,客觀上就有內部 & 外部盜取資產風險;

    b)密鑰分片保存在【Mixin Domain】和【Mixin 全節點】上,且 Mixin 官方白皮書明確表示有對分片進行備份,客觀上存在內部 & 外部竊取分片進行多籤交易的風險。(此處,也是雲服務器數據被盜後導致用戶 BTC 丟失的最大概率原因)

    c)Mixin DAPP 上顯示的客戶資產並非真正的 BTC,也不是經由智能合約執行跨鏈的 xBTC,只是 Mixin Network 接收充值通訊後生成記账點數,和中心化交易所的账戶余額並無差別。

(以 Mixin message 的發紅包功能為例,模擬的 Mixin 產品工作流程)

  • Hacker 盜取 Mixin 客戶的 BTC 的 N 種方式

    到這裏,相信有經驗的朋友已經知道 Mixin 的坑有多大了,而 Cregis Reseach 依然從內部作惡和外部作惡兩個維度和大家梳理 Mixin 客戶的 BTC 最有可能去了哪裏:

    一、內部作惡(兩種方向)

    如果 Mixin network 的工作流程確實與白皮書說描述的一致,那內部作惡的方向有兩個:

    a)項目方控制着 2/3+ 1 數量的全節點服務器,可以隨時發起多籤交易。Mixin 目前運行節點約為 35 個,根據 Mixin 的核心代碼配置文件猜測,Mixin 團隊自運營節點數約為 27 個。另外,由於 想要運行【Mixin 全節點】需要質押約 200 萬美金的 Mixin Token,而現實情況外部節點的數量遠遠不足,所以通過節點服務器發起多籤攻擊可以排除是外界所為。

    Mixin network 的官方配置文檔

    b)根據 Mixin 的官方白皮書,為了防止密鑰分片丟失,Mixin 會在官方服務器對於密鑰分片進行多重備份。所以即使無法

    控制全節點服務器籤署交易,也可以使用備份私鑰分片發起交易。

    Mixin 官方白皮書對密鑰分片備份的描述

    二、外部作惡(4 種方向)

    站在黑客的角度推理,打穿 Mixin Network 防御的途徑如下:

    a)攻破 2/3+ 1 數量的全節點雲服務器;

    b)打穿私鑰分片備份服務器/數據庫;

    c)打穿【Mixin Domain】服務器/數據庫,掌握大量充值地址的私鑰後,竊取未歸集的熱錢包資產;

    以上的純技術路徑看似簡單,但要成功所需的工作量極大,實際上黑客也有更簡單(碰運氣)的辦法,利用釣魚郵件或網站,攻擊 Mixin 的核心技術或者運維人員。一旦粗心大意的受害者上鉤,黑客即可通過木馬進入對方主機搜集雲端服務器密碼等信息,進行精准打擊。

  • 綜上所述,雖然目前沒有直接證據表明 Mixin 被盜屬於監守自盜,但其技術實現的邏輯本身確實存在漏洞。

Mixin 被盜事件,影響的絕不僅是資產丟失的客戶。比特幣誕生於人們對中心化金融機構的失望與反抗,理想家們希望創造一個無須信任+無法作惡的經濟模型;但經歷了十多年的發展,數字資產似乎依然無法擺脫中心化的管理套路。而大部分資產丟失的原因,核心依然是對錯誤的對象付出了信任。

安全與便捷,加密托管的天平終將擺向何方?

通過 MiXin 事件,我們發現任何人或機構,如果選擇混合共管的方式保存自己的數字資產,其本質都是中心化資產管理方式。

在享受諸如便捷的社交登錄、私鑰恢復、账戶找回等功能的同時, 任何資產鏈上轉移的行為都必須經由第三方協作,難免會存在着內在或外在的風險。

而 Cregis 的產品一直堅持客戶自托管的安全策略,雖然會犧牲部分便利性,但可以確保客戶無須擔心自己的資產因 Cregis 而丟失,這個產品特點與對安全極度關注的企業級資金管理需求不謀而合。

當一個Web3.0 企業的規模發展壯大後,也許不再愿意依賴於資產托管服務商的服務器提供的功能,這個時候你需要 Cregis 的私有化部署功能。Cregis 可以將從客戶端到算法庫到財務協作管理的全部源代碼都授權部署到客戶的服務器中,這些代碼都經過審計,而且用 6 年時間證明自己沒有安全漏洞。客戶既擁有和硬件錢包一樣的安全性,又能體驗 Cregis 的豐富功能,而且如果沒有軟件升級和維護的要求,客戶無需再與 Cregis 聯系,可以完全保證自己的商業祕密。

安全性

Cregis 的私有化部署在安全性方面將所有數據和交易活動限制在項目方機構私有服務器內,以確保了用戶資產和數據的安全可控。這樣的安全模型能有效阻隔各種外部威脅,包括但不限於黑客攻擊、數據竊取或第三方服務的不穩定性。即使是 Cregis 也不能直接接觸到用戶的私鑰分片。

這種獨特的安全設計與市面上多數依賴於中心化托管或混合托管的解決方案形成鮮明對比。

獨享服務器資源

隨着數字資產和Web3.0 應用的日益復雜和龐大,服務器資源的優化和管理變得尤為關鍵。在 Cregis 的私有化部署模式下,可以獨享服務器資源,無需與其他客戶或項目共享。

支持私有化定制

在日趨復雜的Web3.0 環境中,標准化的解決方案往往難以滿足所有機構或項目的特定需求。因此,Cregis 不僅可以滿足標准化需求,同時還能滿足個性化需求。Cregis 的私有化部署,支持高度可定制的財務協作管理功能和對特定業務需求的靈活定制。

一對一技術咨詢服務

數字資產管理和Web3項目運營涉及多個復雜的方面,從交易執行和數據處理到安全防護和合規性。Cregis 私有化部署不僅提供了強大的技術基礎設施,還提供一對一技術咨詢服務,無論您面臨的是系統配置、交易確認還是安全防護方面的問題,專業的技術團隊都能在第一時間給出解決方案。

錢包數量、地址和幣種不受限制

Cregis 私有化部署允許用戶無限制地添加新的錢包和地址,這意味着您可以自由地管理各種不同類型的數字資產。

聯系我們

官方網站 | Twitter | Discord

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

AI Agent 2024年回顧展望:我們從哪兒來,又將到哪兒去?

0x Jeff @web3_golem 2024 年 AI Agent 發展回顧 2024 年對於...

星球日報
3 2小時前

起底OKX客服部:平均3分鐘回復、100%反饋率、變被動為主動

Star 鮮少出席线下活動,卻以开放的姿態活躍於 X 平臺。他的推特傾向於親自回復用戶疑問和跟進用...

星球日報
2 2小時前

如何理解近期下跌走勢:第一波“特朗普震撼”來襲

作者 : @Web3_Mario 摘要 :上周加密貨幣市場經受了較大的回撤,市場上普遍歸因為美聯儲...

馬裏奧看Web3
2 2小時前

一文盤點 2025 年七大 DeFi 質押平臺:如何最大化 DeFi 質押收益?

撰文:Siddhant Kejriwal 編譯:Glendon,Techub News 加密貨幣行...

TechubNews
3 2小時前

特朗普也被“割”?旗下加密項目浮虧超百萬美元

聖誕節前後,加密市場似乎也隨着節日的到來進入休整。 自上周鮑威爾一句話帶崩加密市場後,整體市場下挫...

陀螺財經
2 2小時前

Blockworks Mippo:關於2025年的27個加密猜想

原文來源: @Mippo 編譯: Odaily星球日報( @OdailyChina ) 譯者:We...

星球日報
2 2小時前