Cointime

Cointime

Download App
iOS & Android

MPC와 스마트 계약의 두 가지 지갑 체계 분석

Validated Media

표면적으로 MPC는 유연하고 효율적이지만 심층 연구를 통해 MPC에 내재된 몇 가지 보안 허점과 공격 벡터를 발견했으며 이러한 문제의 존재를 부인할 수 없습니다.

원래 제목: " MPC의 위험과 스마트 계약 지갑으로의 전환 "

저자: 수칸스 아스라니

컴파일: MK

자체 호스팅은 현재 만족스럽지 않습니다. Ledger, Metamask 및 기타 외부 소유 계정(EOA)과 같은 기본 솔루션은 암호화 네이티브 사용자에게 실제 문제를 나타냅니다.

사용자는 다음을 수행해야 합니다.

1. 시드 문구를 보호하는 방법을 알아보세요. 공격자가 24단어 시드 문구를 입수하면 모든 자산을 훔칠 수 있습니다.

2. 거래할 때 실수를 피하십시오. 악의적인 거래에 서명하거나 자산을 잘못된 주소로 보내는 것은 너무나 흔한 일입니다.

3. 귀하 또는 귀하의 친척이 시드 문구에 액세스하지 못하는 경우를 대비하여 맞춤형 복구 및 승계 계획을 세우십시오.

다자간 계산(MPC)과 스마트 계약 지갑은 이러한 문제를 해결할 수 있는 두 가지 솔루션입니다. 이를 통해 지갑 공급자는 EOA 위에 소셜 복구, 트랜잭션 제한, 이중 인증 등과 같은 기능을 구축할 수 있습니다. Waymont에서는 처음에 MPC를 채택했습니다. 표면적으로는 유연하고 효율적으로 보입니다. 그러나 더 깊이 파고들수록 MPC에 내재된 몇 가지 보안 허점과 공격 벡터를 발견했으며 이러한 문제의 존재를 부인할 수 없었습니다.

따라서 현재 1,000억 달러 이상의 자산을 안전하게 보관하고 있는 Safe의 스마트 계약으로 인프라를 이전하기로 최종 결정했습니다. 이 기사에서는 1) MPC 지갑의 작동 방식, 2) 발견한 MPC 문제, 3) 스마트 계약으로 전환한 이유에 대해 자세히 설명합니다.

1) MPC 지갑의 작동 원리

높은 수준에서 MPC 지갑은 미리 키 공유로 분할되고 다른 당사자에게 배포되는 개인 키를 생성합니다. 이러한 키 공유는 트랜잭션에 독립적으로 서명할 수 있으며 각 키 공유의 오프라인 서명은 유효한 이더리움 서명으로 결합될 수 있습니다.

MPC 모델은 일반적으로 유사하지만 주요 지분을 보유한 당사자는 다를 수 있습니다.

중앙 집중식 MPC: 모든 키 공유는 단일 엔터티(예: Coinbase)에 의해 제어되지만 격리되고 안전한 클라우드 환경에서 처리됩니다. 이 접근 방식은 기관 호스팅 공급자가 운영 효율성을 위해 자주 사용하지만 자산을 내부자 공격과 단일 실패 지점에 취약하게 만들 수 있습니다. 또한 공급자가 법적 관리인으로 등록해야 할 수도 있습니다.

하이브리드 MPC: 키 공유는 사용자, 지갑 공급자 및 타사 간에 배포됩니다. Fireblocks 및 ZenGo와 같은 공급자는 이 접근 방식을 사용하므로 모든 키 공유를 보유하는 하나의 중앙 집중식 공급자를 신뢰할 필요가 없습니다. 이것은 더 많은 보안을 제공하지만 키 공유를 안전하게 배포, 관리 및 취소하려면 여전히 중앙 집중식 당사자가 필요합니다.

2) MPC 지갑의 도전

어떤 모델을 사용하든 MPC 기반 호스팅 설정에는 세 가지 주요 문제가 있습니다.

문제 1: 서명 및 키 생성을 안전하게 조정하려면 중앙화된 당사자를 신뢰해야 합니다.

모든 하이브리드 또는 중앙 집중식 MPC 설정에는 하나 이상의 키 공유(및 잠재적으로 백업 키 공유)를 안전하게 보호하기 위해 반드시 신뢰할 수 있는 중앙 집중식 당사자가 필요합니다.

문제 1: 서명 및 키 생성을 안전하게 조정하려면 중앙화된 당사자를 신뢰해야 합니다.

모든 하이브리드 또는 중앙 집중식 MPC 설정에는 하나 이상의 키 공유(및 잠재적으로 백업 키 공유)를 안전하게 보호하기 위해 반드시 신뢰할 수 있는 중앙 집중식 당사자가 필요합니다.

이러한 키 공유를 보호하려면 정교하고 신뢰할 수 있는 클라우드 인프라가 필요합니다. 분산 키 생성, 키 순환 및 키 해지와 관련된 복잡성으로 인해 내부자 위협 및 중간자 공격을 통해 키 공유가 노출될 위험이 있습니다. 충분한 수의 키 공유가 노출되면 공격자가 자산을 완전히 제어할 수 있습니다.

문제 2: 키 해지 시 이전 키 공유가 적절하게 폐기된다는 것을 신뢰해야 합니다.

MPC 서명자의 액세스 권한을 취소하려면 키를 취소할 수 있어야 하며 모든 당사자가 이전 키 공유를 폐기하도록 신뢰해야 합니다. 암호화의 결정론적 특성을 고려할 때 키 공유를 취소하는 것은 어려울 수 있습니다. 지갑 공급자의 키 공유 인프라가 바이러스에 의해 손상되면 바이러스는 공격자가 모든 자산을 전송할 수 있는 충분한 키 공유를 확보할 때까지 키가 취소될 때마다 이전 키 공유를 수집하면서 휴면 상태를 유지할 수 있습니다.

문제 3: MPC 알고리즘에 버그가 없다는 것을 믿어야 합니다.

MPC 알고리즘에는 복잡한 암호화가 포함되며 알고리즘은 성능과 기능을 개선하기 위해 정기적으로 업데이트됩니다. 업계 표준 알고리즘에서 취약점이 발견되었으며 MPC 구현의 버그로 인해 취약점을 악용하는 공격자는 자금을 완전히 잃을 수 있습니다.

예를 들어 최근 암호화폐 공간에서 두 가지 취약점이 발견되었습니다.

1. GG18, GG20의 개인키 정보 유출(2019~2021년 Fireblocks에서 사용한 MPC 알고리즘)

2. BitGo의 MPC 구현에서 최근에 발견된 취약점으로, 단 하나의 서명으로 해커가 자금에 대한 전체 액세스 권한을 부여합니다.

3) 스마트 계약 > MPC 기반 지갑

스마트 계약 솔루션(안전)으로 이동하면 다음과 같은 모든 우려 사항을 제거할 수 있었습니다.

문제 1: 서명 및 키 생성을 안전하게 조정하려면 중앙화된 당사자를 신뢰해야 합니다.

Safe의 솔루션: 투명 + 검증 가능한 서명 및 키 생성. Waymont 금고는 2대2 안전한 다중서명 지갑입니다. 서명자 1이 등록된 모바일 장치이고 서명자 2가 Waymont 정책 보호자임을 온체인에서 확인할 수 있습니다. Waymont는 어떠한 주요 지분도 보유하지 않으므로 노출되더라도 거래를 시작할 수 없으며 자산이 손상될 수 있습니다.

문제 2: 키 해지 시 이전 키 공유가 적절하게 폐기된다는 것을 신뢰해야 합니다.

Safe 솔루션: 자유롭게 키를 회전하고 온체인에서 서명자를 제거 및 추가할 수 있습니다. 키 공유를 폐기할 필요가 없으며 악의적인 당사자가 오래된 키 공유를 축적할 위험이 없습니다.

문제 3: MPC 알고리즘에 버그가 없다는 것을 믿어야 합니다.

Safe의 솔루션: Safe의 스마트 계약은 1,000억 달러 이상의 자산을 보호합니다. 2018년부터 Safe의 스마트 계약은 공식 검증을 포함하여 업계 최고의 보안 표준을 통과했으며 11개 이상의 보안 감사에서 좋은 성과를 거두었습니다.

그러나 Safe를 사용하는 데 희생이 없는 것은 아닙니다. 보안을 최적화함으로써 증가된 가스 비용을 수용하고 일시적으로 EVM 체인에 잠급니다. 우리는 이것이 자명한 선택이라고 생각합니다. 우리의 절대적인 우선 순위는 안전입니다. 스마트 계약은 사용자에게 다음과 같은 다른 이점도 제공합니다.

1. 온체인 타임록 - 사용자가 취소할 수 있는 복구 및 지연 작업을 위한 타임록

2. 일괄 트랜잭션 - 사용자는 가스를 절약하기 위해 여러 트랜잭션을 함께 일괄 처리할 수 있습니다.

3. 스폰서 거래 - 다른 당사자가 사용자를 위한 거래를 후원할 수 있습니다(ERC20 토큰으로 가스 비용을 지불할 수도 있음).

4. 프로그래밍 가능한 보안 - 온체인 키 순환 및 프로그래밍 가능한 키 관리(예: $10,000 이상의 거래에는 추가 또는 다른 서명 키가 필요함)

MPC는 미래의 셀프 호스팅에서 여전히 역할을 할 수 있습니다. 관리인과 함께 일하고자 하는 기관에게는 합리적인 선택이 될 수 있습니다. 또는 Safe의 설립자 Lukas Schor가 지적한 것처럼 MPC는 스마트 계약 지갑 서명 키의 보안을 개선하는 솔루션으로 사용될 수 있습니다.

MPC는 미래의 셀프 호스팅에서 여전히 역할을 할 수 있습니다. 관리인과 함께 일하고자 하는 기관에게는 합리적인 선택이 될 수 있습니다. 또는 Safe의 설립자 Lukas Schor가 지적한 것처럼 MPC는 스마트 계약 지갑 서명 키의 보안을 개선하는 솔루션으로 사용될 수 있습니다.

전반적으로 적절한 구현을 통해 MPC 설정은 안전할 수 있습니다. 그러나 위에서 언급한 바와 같이 MPC는 고유한 신뢰 가정을 필요로 하며 Waymont와 대부분의 암호화 네이티브 사용자가 피하는 것을 선호하는 위험 벡터를 도입합니다. 결과적으로 Waymont는 안전한 스마트 계약을 통해 현재 1,000억 달러 이상의 자산을 자신 있게 보호하고 있습니다.

지갑 이더 리움 MPC 원장 메타마스크 하부 구조 ERC20 스마트 계약
댓글

모든 댓글

Recommended for you

  • 미국 현물 비트코인 ​​ETF는 어제 4,397만 달러의 순유출을 기록했습니다.

    Trader T 모니터링에 따르면 미국 현물 비트코인 ​​ETF는 어제 4,397만 달러의 순유출을 기록했습니다.

  • 향후 5년간 암호화폐 정책을 결정할 새로운 유럽위원회

    유럽의회는 올 가을에 향후 5년간 EU의 암호화폐 정책을 결정할 새로운 유럽위원회를 선출할 예정입니다. 새 위원회는 이르면 11월까지 출범하지 않을 예정이지만, 이미 암호화폐 규제에 대한 위원회의 접근 방식을 예측하는 몇 가지 추세가 있습니다. 첫째, 유럽 정치의 중심이 오른쪽으로 이동하고 있으며, 이는 조세 및 혁신 접근 방식에 대한 논의에 영향을 미칠 수 있습니다. 프랑스는 정치적 불안정으로 인해 앞으로 더 많은 어려움에 직면하게 될 것입니다. 둘째, 정책 입안자들은 혁신 정책에 대한 영향력을 놓고 경쟁할 것입니다. 새로운 의원들은 암호화 정책에 초점을 맞춰 개인적 위상을 높일 가능성이 높으며, 위원회 내 고위 정책 고문들은 권력을 놓고 경쟁할 가능성이 높습니다. 셋째, 디지털 개인정보 보호와 인공지능이 EU 정책 우선순위로 확인되면서 혁신이 정책의 기둥이 될 것입니다. 위원회는 디지털시장법과 디지털서비스법을 적극적으로 시행할 것으로 예상된다. 시장 측면에서 암호화폐의 제도적 채택 증가는 정치적 개입을 촉발할 수 있는 반면, 전통 금융에서 암호화폐에 대한 더 많은 소매 투자 노출은 정치적 반응을 촉발할 수도 있습니다. EU는 글로벌 암호화 정책에 있어 상당한 진전을 이루었으며 새로운 입법 작업을 통해 기존 규칙의 효과적인 구현을 보장해야 합니다.

  • 금융감독원, 업비트 등 가상자산 서비스 제공업체 6곳 조사

    금융감독원이 지난 7월 가상자산 이용자 보호법 시행 이후 첫 번째로 가상자산 서비스 제공자에 대한 점검을 실시한다고 밝혔다. 금감원은 원화마켓 거래소 2곳, 토큰마켓 거래소 3곳, 지갑·수탁 서비스 제공업체 1곳 등 6개 기관을 조사할 계획이다. 업비트, 빗썸, 코인원, 고팍스, 코빗 등 국내 주요 원화시장 거래소 2곳이 점검 대상으로 선정된다는 점은 주목할 만하다. 검사의 초점은 규제 준수, 이용자 보호 시스템, 내부 통제 메커니즘 및 불공정 거래 감독 등입니다. 금감원은 이용자 자산관리, 콜드월렛 활용, 보험 및 적립금 현황, 거래기록 유지, 이상거래 모니터링 시스템 등을 검토하게 된다. 불법행위에 대해서는 시장질서 유지를 위해 엄중히 제재하는 동시에 기업의 자제와 감독이 강화될 수 있도록 지원하겠다고 밝혔다.

  • 1,200만 달러 규모의 암호화폐 사기 혐의를 받고 있는 한국인 남성이 성형수술을 이용해 10개월 동안 탈출했다가 체포됐다.

    9월 2일 뉴스에 따르면, 한국 경찰은 2024년 8월 40대 남성을 체포했다. 이 남성은 대규모 암호화폐 사기 사건을 계획하고 투자자 158명에게 총 160억 원을 사취한 혐의를 받고 있다. 사기 행위는 2021년 11월부터 2022년 6월까지 지속된 것으로 알려졌으며, 용의자들은 가짜 암호화폐 채굴 사업을 빙자해 투자자들에게 월 18%의 수익률을 약속했습니다. 피해자 개인의 피해액은 120만원에서 2억5000만원에 이른다. 피의자는 2023년 9월 예심에 불출석한 뒤 눈, 코, 안면윤곽 성형수술에 약 2100만원을 쓰고 가발을 착용해 외모를 바꾸는 등 10개월 동안 검거를 회피했다. 결국 경찰은 감시카메라 영상, 통화기록, 인터넷 검색기록 등의 단서를 통해 A씨를 검거하는데 성공했다.

  • Telegram은 CEO 체포에 대응합니다: Telegram은 EU 법률을 준수하고 감사는 업계 표준을 준수하며 지속적으로 개선하고 있습니다.

    텔레그램은 CEO의 체포에 대응하여 공식 X 플랫폼 계정에 다음과 같은 성명을 발표했습니다.

  • 아르헨티나, '크레시미엔토' 운동으로 현지 암호화폐 기반 개혁 추진

    8월 26일자 뉴스에 따르면, 코인데스크 칼럼니스트 벤자민 쉴러는 아르헨티나가 이제 기술 르네상스를 앞두고 있다고 말했다. 아르헨티나는 오랫동안 경제적 불안정의 상징이었지만 이제는 암호화폐를 통한 글로벌 경제 변혁의 시험장이 되고 있습니다. 아르헨티나는 치솟는 인플레이션과 엄청난 부채 속에서 경제를 안정시키고 성장을 촉진하기 위한 도구로 암호화폐를 선택하고 있습니다. 미국이 암호화폐 분야의 리더십에서 물러나면서 아르헨티나는 그 공백을 메울 기회를 포착하고 있습니다. 이러한 변화의 중심에는 지속 가능한 암호화 기반 개혁을 추진하기 위해 노력하는 암호화폐 신봉자, 기업가 및 혁신가를 하나로 묶는 "Crecimiento" 운동이 있습니다. 새로 선출된 대통령은 암호화폐의 잠재력에 관심을 보였으며 "Crecimiento" 운동은 암호화폐를 사용하여 지불, 신용, 부동산 및 기타 분야에 초점을 맞춰 경제를 재편하는 데 도움을 주고 있습니다.

  • BTC가 $60,500를 돌파했습니다.

    시장 상황에 따르면 BTC는 60,500달러를 넘어 현재 60,500.02달러에 거래되고 있으며 24시간 기준 2.72%의 상승률을 기록하고 있으니 리스크를 잘 관리하시기 바랍니다.

  • ETH는 2600 USDT를 초과하여 24시간 동안 1.47% 증가했습니다.

    OKX 시장에서는 ETH가 2600 USDT를 돌파했으며 현재 2603.85 USDT에 거래되고 있으며 24시간 동안 1.47% 상승한 것으로 나타났습니다.

  • 스위스, 암호화폐 세금 정보 공유에 대한 공개 협의 시작

    스위스는 국제 정보 교환 협정에 암호화된 세금 데이터를 포함시키는 것을 고려하고 있습니다. 연방 의회는 수요일에 새로운 법안에 대한 협의 과정을 시작했습니다. 이 법안은 111개 관할권과 암호화폐 자산 정보의 공유를 촉진하는 것을 목표로 합니다. 이러한 관할권은 현재 자동 정보 교환의 일부입니다. 공유는 OECD의 암호화폐 자산 보고 프레임워크 준수 여부에 따라 결정됩니다. 스위스는 오랫동안 암호화폐 채택의 선두주자였습니다. 루가노와 같은 곳은 세금 목적으로 테더(USDT) 및 비트코인(BTC)과 같은 암호화폐를 최초로 허용합니다. 국가의 정치적 틀에 따라 연방세청은 비트코인을 결제 수단으로 분류할 수 있습니다. 따라서 비트코인은 부가가치세(VAT)가 면제됩니다. 연방 의회는 파트너 국가와 암호화 관련 정보의 자동 교환 시작일을 설정하는 것을 목표로 하고 있습니다. 입법 제안에 대한 협의 기간은 2024년 11월 15일에 종료됩니다.

  • 스위스, 암호화폐 세금 정보 공유에 대한 공개 협의 시작

    스위스는 국제 정보 교환 협정에 암호화된 세금 데이터를 포함시키는 것을 고려하고 있습니다. 연방 의회는 수요일에 새로운 법안에 대한 협의 과정을 시작했습니다. 이 법안은 111개 관할권과 암호화폐 자산 정보의 공유를 촉진하는 것을 목표로 합니다. 이러한 관할권은 현재 자동 정보 교환의 일부입니다. 공유는 OECD의 암호화폐 자산 보고 프레임워크 준수 여부에 따라 결정됩니다. 스위스는 오랫동안 암호화폐 채택의 선두주자였습니다. 루가노와 같은 곳은 세금 목적으로 테더(USDT) 및 비트코인(BTC)과 같은 암호화폐를 최초로 허용합니다. 국가의 정치적 틀에 따라 연방세청은 비트코인을 결제 수단으로 분류할 수 있습니다. 따라서 비트코인은 부가가치세(VAT)가 면제됩니다. 연방 의회는 파트너 국가와 암호화 관련 정보의 자동 교환 시작일을 설정하는 것을 목표로 하고 있습니다. 입법 제안에 대한 협의 기간은 2024년 11월 15일에 종료됩니다.

매일 필독

대중적인 활동

Delysium $AGI & AI Private Yacht Party

Delysium $AGI & AI Private Yacht Party

March 27 - March 27
Seoul
Cointime
Content
Company