Attaque Liquid Exchange : un portefeuille Crypto peut-il être à 100 % à l'abri des piratages ?

La bourse japonaise de Cryptomonnaie Liquid Global a vu près de 100 millions de dollarsdes fonds volés lors d'un piratage informatique jeudi.

L'entreprise a déclaré que l'attaque visait son système de calcul multipartite (MPC) de garde.

« Cette fois, le portefeuille MPC (utilisé pour la gestion de l'entreposage/de la livraison des actifs cryptographiques) utilisé par notre filiale singapourienne Quoine Pte a été endommagé par un piratage », a déclaré la société dans un communiqué.article de blog sur l'incident, traduit du japonais par Google.

Les piratages ne sont pas rares dans le monde de la Crypto , mais l'attaque liquideétait remarquable parce que MPC – une technique cryptographique avancée dans laquelle la clé privée contrôlant les fonds est générée collectivement par un ensemble de parties, dont aucune ne peut voir les fragments calculés par les autres – semble être la Technologies de choix parmi les banques et les sociétés de premier ordre qui cherchent à se lancer dans la Crypto.

Les accords conclus avec les entreprises MPC témoignent de la demande pour cette Technologies. Ces accords incluent L'acquisition de Curv par PayPalen mars etAcquisition de Shard X par Geminien juin. Et BNY Mellon, la première banque dépositaire au monde,cimenté un partenariatavec le fournisseur MPC Fireblocks plus tôt cette année.

Sur le même sujet : MPC expliqué : une nouvelle vision audacieuse pour sécuriser les Crypto

Les banques qui s'intéressent au secteur des Cryptomonnaie considèrent probablement le MPC comme souhaitable car la Technologies peut être configurée pour répondre à leurs besoins et offre un produit plus flexible et autogéré que la simple remise des clés à un dépositaire tiers.

MPC est-il coupable ?

Cependant, c'est la manière dont les portefeuilles MPC peuvent être configurés qui est le point faible, à savoir l'erreur Human , qui peut s'infiltrer, a déclaré Michael Shaulov, PDG de Fireblocks.

Liquid Exchange a utilisé la Technologies MPC fournie par Unbound Security, une société israélienne, selon deux sources proches du dossier. Unbound est une société de cryptographie très réputée, soutenue par Goldman Sachs et utilisée par JPMorgan Chase dans ses services basés sur la blockchain Onyx.

Une porte-parole d'Unbound a déclaré par courrier électronique que la société n'était « pas en mesure de commenter les éléments qui ne relèvent pas de notre compétence ».

Selon Shaulov, l'attaque de jeudi contre Liquid était probablement liée à un piratage du système d'échange.novembre dernier, lorsqu’un attaquant a collecté des données sur la configuration de sécurité de l’entreprise.

« Bien que l'attaque ait visé leurs portefeuilles HOT basés sur MPC, je suppose que cela n'a rien à voir avec les vulnérabilités MPC », a déclaré Shaulov à CoinDesk.

Sur le même sujet : Cette avancée en matière de garde de Crypto rapprochera les banques des actifs numériques

Analyses Shaulov, la Juridique de sécurité de l'échange a probablement été conçue de telle manière que le pirate informatique d'origine a pu contourner l'ensemble de son processus d'approbation et demander aux portefeuilles de retirer des pièces, sans affecter la clé privée.

« Dans mon métier, rien n'est à 0 % », a déclaré Shaulov. « Mais les chances que le pirate ait réussi à déjouer le protocole MPC d'Unbound sont très minces. »

Tal Be'ery, responsable de la sécurité du portefeuille ZenGo alimenté par MPC, a partagé ce point de vue.

« Il ne s'agit probablement pas du MPC, mais d'un autre problème », a-t-il déclaré à CoinDesk via Telegram. « Le MPC permet aux utilisateurs de réduire efficacement le risque de vol de clés par les différentes parties. Cela peut donc être deux fois plus difficile, trois fois plus difficile, ETC, mais pas impossible. »

Le MPC seul ne suffit pas

L'attaque contre Liquid prouve la thèse selon laquelle MPC seul n'est pas suffisant, selon Lior Lamesh, PDG et cofondateur de GK8, une société israélienne de technologie de conservation qui utilise MPC en combinaison avec des coffres-forts froids, qui ne sont pas connectés à Internet.

Lamesh a déclaré que le piratage informatique est une question de retour sur investissement, et il estime qu'en moyenne, un pirate informatique devrait investir quelques millions de dollars pour compromettre quelques ordinateurs connectés à Internet. Le MPC signifie que des fragments de la clé, au lieu d'être localisés sur un ONE ordinateur connecté à Internet, sont localisés sur deux ou trois ordinateurs connectés à Internet différents, a précisé Lamesh.

Le pluséclats, plus l'attaque est coûteuse, mais cela reste une activité intéressante pour un pirate Crypto ciblant des centaines de millions de dollars.

« Le MPC est plus sûr qu'un portefeuille HOT , mais il ne suffit pas à lui seul aux banques qui doivent gérer plus de plusieurs dizaines de millions de dollars de Crypto», a déclaré Lamesh lors d'une interview. « Il est toutefois possible de gérer, par exemple, 2 ou 3 % des actifs, tandis que la majorité des actifs seront gérés dans un coffre-fort froid, où ils sont 100 % sécurisés puisqu'ils ne sont jamais connectés à Internet. »

Benjamin Powers a contribué au reportage.