Como as empresas de Bitcoin KEEP seus fundos seguros

Quando você armazena seus bitcoins em uma bolsa, um site de apostas ou um site de investimento, você está depositando muita confiança na empresa.

A segurança da carteira pessoal com uma quantidade relativamente pequena de moedas é uma coisa, mas esses sites armazenam muito mais bitcoins do que o usuário médio e, portanto, são PRIME alvos para ataque. Então como eles protegem seu dinheiro?

Alguns, como o site de apostas Seals With Clubs, usam sua própria Tecnologia de carteira proprietária, enquanto outros trabalham com serviços de terceiros.

Há uma variedade de técnicas e ferramentas que as empresas podem usar para tentar KEEP as moedas preciosas dos clientes seguras.

Armazenamento a frio

O armazenamento a frio é um candidato óbvio, e é isso que o provedor de carteira e gateway de pagamento comercial Coinbase faz.

A empresa, que afirma armazenar mais Bitcoin do que qualquer outra empresa no mundo, mantém 97% dele offline, em uma combinação de chaves USB e backups em papel. As chaves privadas nas unidades USB são criptografadas e armazenadas em cofres ao redor do mundo.

As bolsas também dependem do armazenamento a frio para sua segurança. "Todos os fundos mantidos emCoinsetterestão atualmente em armazenamento a frio", disse o fundador da bolsa sediada em Nova York, Jaron Lukasiewicz. "Temos vários níveis de armazenamento a frio, dependendo de uma série de fatores."

Uma empresa pode gerenciar seu próprio armazenamento a frio ou pode contratar outra pessoa para fazê-lo. A Coinsetter armazena cerca de 50% de seus fundos emXapocofre de Bitcoin .

A Xapo cobra cerca de 0,12% do valor armazenado para cuidar dos bitcoins empresariais em seu cofre de Bitcoin , que consiste em servidores offline mantidos em três locais na Ásia, América do Sul e EUA.

A distribuição geográfica T é apenas para redundância de site físico. Ela foca em governos como um vetor de ataque também. Se as autoridades em uma jurisdição tentarem apreender bitcoins em um cofre, então haveria dois outros locais ainda com seus bitcoins intactos.

Seguro contra perdas

Agora, alguns serviços de armazenamento a frio estão complementando os avanços técnicos no armazenamento empresarial de Bitcoin com um ONE financeiro: o seguro cibernético.

"Fomos a primeira empresa de Bitcoin a obter uma Política de seguro contra crimes cibernéticos", disse o cofundador e CEO da Coinbase, Brian Armstrong. "Isso cobre o Bitcoin que armazenamos ao vivo em servidores e cobre coisas como hacking, roubo interno e perda acidental devido a bugs de software."

O cofre da Xapo é segurado pela Meridian Insurance.

Outra carteira que suporta armazenamento a frio éArsenal, uma carteira de armazenamento de nível empresarial desenvolvida por Alan Reiner.

John Velissarios, que recentemente se juntou à Armory como diretor de segurança da informação (CISO), explicou que a carteira tem uma versão especial de armazenamento a frio projetada para não se conectar ao blockchain, o que significa que ela T publica transações.

"Você pode ter uma máquina de armazenamento a frio onde ela está completamente desconectada, sem conectividade com o mundo exterior. Você usa isso para liberar fundos da sua carteira", ele disse.

Para aproveitar o armazenamento a frio, os usuários corporativos podem preparar suas transações de Bitcoin em um computador conectado à Internet e, em seguida, copiá-las para uma unidade USB e transferir a transação para o computador de armazenamento a frio offline, onde são assinadas.

"Você então copia de volta para o computador online e publica", continuou Velissarios.

Módulos de segurança de hardware

No entanto, nem todo mundo é apaixonado por cold storage. Tirar os fundos desse armazenamento para uma HOT wallet pode ser demorado, apontam os críticos do método.

“As pessoas em uma empresa precisam de acesso controlado aos fundos”, disse Rodolfo Novak, cofundador daCoinKite. "Toda vez que você faz armazenamento a frio, você está obrigatoriamente adicionando um Human à mistura, então há possibilidade de erro Human ."

Em fevereiro, CoinKitelançadoum serviço que armazena chaves privadas com segurança em módulos de segurança de hardware (HSMs), que não são conectados diretamente à Internet, mas funcionam por meio de um proxy que faz solicitações ao sistema. Isso fornece o que Novak chama de armazenamento 'quente' – chaves mantidas com segurança que são acessíveis por meio de uma API.

"O HSM é isolado da Internet padrão e T expõe suas chaves. Então você T pode ser hackeado na prática", ele disse.

O HSM, que a CoinKite construiu sozinha, não tem servidor web. Tudo o que ele pode fazer é dar suporte a solicitações de API do próprio servidor web da CoinKite. O módulo precisa assinar eletronicamente esse servidor antes de iniciar, o que, de acordo com o cofundador da CoinKite, Peter Gray, significa que não pode haver processos maliciosos em execução no servidor.

Os usuários acessam o sistema usando suas credenciais de login do CoinKite, que a empresa criptografa usando um algoritmo de hash, e podem se proteger ainda mais contra comprometimentos usando autenticação de dois fatores (2FA), por meio deAutenticador Google, SMS ou mesmobaseado em papelautenticação.

Quando o usuário é autenticado, ele pode acessar seu armazenamento frio por meio de uma API, que pode ser configurada para Siga certas restrições, como permitir acesso somente de determinados endereços IP ou limitar saques a um valor definido durante um período de tempo especificado.

Armazenamento multiassinatura

O armazenamento de múltiplas assinaturas ('multisig') é um dos maiores desenvolvimentos em segurança empresarial de Bitcoin até o momento.

BitGo

, que o CEO e cofundador Will O'Brien diz que se concentra em soluções para empresas e instituições, evita totalmente o armazenamento a frio em favor do multisig.

O'Brien disse:

"O armazenamento a frio de chave única é uma prática perigosa e ultrapassada. Como indústria, precisamos acabar com a era do gelo do armazenamento a frio e adotar multisig, onde você pode tornar qualquer número de chaves 'frias' e ter proteções muito mais fortes."

Padronizado há alguns anos como parte deBIP 16 (anteriormente era um recurso não padrão no protocolo), o multisig permite que um remetente exija mais de uma assinatura para confirmar uma transação no que é conhecido como 'eude ' assinatura.

Em umeude transação multisig, há um total de chaves privadas disponíveis para assinar uma transação, e a carteira pode ser configurada para exigireudessas chaves para assinar a transação para que a transação seja executada.

A ideia é impedir que uma única pessoa comprometa uma carteira, exigindo que outra parte conhecida assine essa transação.

A BitGo, que afirma ser a primeira fornecedora da funcionalidade de carteira multiassinatura, conta com confirmação de assinatura '2 de 3', o que significa que duas chaves privadas devem ser usadas para assinar uma transação de um total de três disponíveis.

Um dos signatários no cenário é a carteira local privada, e um deles é a chave privada do Bitcoin . A terceira chave é uma chave de backup mantida no servidor Bitgo.

Arsenal tambémanunciadocapacidade mutisig totalmente descentralizada em julho. A empresa oferece combinações multisig de até m de 7, por meio de carteiras Armory gerenciadas de forma independente, sem o uso de um site centralizado.

"Os bancos normalmente têm 2 de 3, ou 3 de 6, mas geralmente T passam de 7", disse Velissarios, ex-diretor sênior no braço de consultoria de segurança da Accenture, com experiência semelhante na PricewaterhouseCoopers. "É por isso que o espaço empresarial é muito adequado para fazer esse tipo de segregação de tarefas e fornecer essas capacidades."

Armazenamento descentralizado de chaves privadas

O armazenamento de chaves multiassinatura offline descentralizado é uma vantagem significativa para alguns, incluindo o CEO de uma empresa de Bitcoin apoiada por capital de risco que arrecadou vários milhões de dólares.

"Eu posso fazereu de estruturas, onde todas as chaves privadas são criadas offline", disse o CEO, que pediu para não ser identificado. "Então, como eu trato essas depende de mim. Eu poderia colocar uma delas online, mas o ponto é que a escolha é minha."

O CEO disse:

"Também há situações em que, para quantias muito pequenas de moedas, tenho uma pequena carteira HOT , onde KEEP US$ 50 [em bitcoins]. Isso tem seu lugar."

Para as empresas que querem maiseus para seus s, em 18 de novembro, a CoinKite introduziu multisig para seu módulo de segurança de hardware. O sistema oferecem-de 15 transações e, assim como o Armory, T exige que nenhuma das chaves seja armazenada em um servidor central, embora ofereça cinco opções diferentes.

Na opção de armazenamento mais simples, o CoinKite armazena todas as chaves centralmente. O armazenamento de frase-senha mantém as chaves no HSM, mas as criptografa usando a senha exclusiva do usuário.

A terceira opção, "convidar outros", permite que os usuários convidem outros usuários do CoinKite para serem cosignatários, que podem então escolher em qual opção desejam armazenar sua chave.

A quarta opção, offline, usa uma ferramenta de código aberto criada pela CoinKite, que roda no navegador e gera chaves multisig.

"Algumas das pessoas que estão coassinando uma conta podem querer usar o HSM, então nós suportamos armazenar as chaves multisig no HSM", disse Gray da CoinKite. "Ao mesmo tempo, nós também damos a eles código Javascript para gerar uma chave offline, em um computador que T faz mais nada. Então eles podem gerar uma chave totalmente fora da CoinKite."

Por fim, uma quinta opção permite que os usuários importem chaves de outras carteiras.

O que vem por aí para a segurança empresarial do Bitcoin ?

As empresas de carteira estão adaptando suas soluções especificamente para empresas. A BitGo tem umaserviço empresarialcom recursos como limites de gastos, alertas e monitoramento de carteira 24 horas por dia. Na Armory, Velissarios lidera oserviços de consultoriadivisão.

O que realmente ajudaria as empresas de Bitcoin , no entanto, é um padrão de auditoria de segurança que vá além da segurança clássica de data center e dos padrões de segurança PCI, para refletir a natureza única do armazenamento e uso do Bitcoin .

Nada parecido com isso existe ainda. Um órgão de padrões de segurança existente, ou uma instituição independente no mundo do Bitcoin , se apresentará?

Cofre de Bitcoinimagem via Shutterstock.