Cointime

Cointime

Download App
iOS & Android

MPC와 스마트 계약의 두 가지 지갑 체계 분석

Validated Media

표면적으로 MPC는 유연하고 효율적이지만 심층 연구를 통해 MPC에 내재된 몇 가지 보안 허점과 공격 벡터를 발견했으며 이러한 문제의 존재를 부인할 수 없습니다.

원래 제목: " MPC의 위험과 스마트 계약 지갑으로의 전환 "

저자: 수칸스 아스라니

컴파일: MK

자체 호스팅은 현재 만족스럽지 않습니다. Ledger, Metamask 및 기타 외부 소유 계정(EOA)과 같은 기본 솔루션은 암호화 네이티브 사용자에게 실제 문제를 나타냅니다.

사용자는 다음을 수행해야 합니다.

1. 시드 문구를 보호하는 방법을 알아보세요. 공격자가 24단어 시드 문구를 입수하면 모든 자산을 훔칠 수 있습니다.

2. 거래할 때 실수를 피하십시오. 악의적인 거래에 서명하거나 자산을 잘못된 주소로 보내는 것은 너무나 흔한 일입니다.

3. 귀하 또는 귀하의 친척이 시드 문구에 액세스하지 못하는 경우를 대비하여 맞춤형 복구 및 승계 계획을 세우십시오.

다자간 계산(MPC)과 스마트 계약 지갑은 이러한 문제를 해결할 수 있는 두 가지 솔루션입니다. 이를 통해 지갑 공급자는 EOA 위에 소셜 복구, 트랜잭션 제한, 이중 인증 등과 같은 기능을 구축할 수 있습니다. Waymont에서는 처음에 MPC를 채택했습니다. 표면적으로는 유연하고 효율적으로 보입니다. 그러나 더 깊이 파고들수록 MPC에 내재된 몇 가지 보안 허점과 공격 벡터를 발견했으며 이러한 문제의 존재를 부인할 수 없었습니다.

따라서 현재 1,000억 달러 이상의 자산을 안전하게 보관하고 있는 Safe의 스마트 계약으로 인프라를 이전하기로 최종 결정했습니다. 이 기사에서는 1) MPC 지갑의 작동 방식, 2) 발견한 MPC 문제, 3) 스마트 계약으로 전환한 이유에 대해 자세히 설명합니다.

1) MPC 지갑의 작동 원리

높은 수준에서 MPC 지갑은 미리 키 공유로 분할되고 다른 당사자에게 배포되는 개인 키를 생성합니다. 이러한 키 공유는 트랜잭션에 독립적으로 서명할 수 있으며 각 키 공유의 오프라인 서명은 유효한 이더리움 서명으로 결합될 수 있습니다.

MPC 모델은 일반적으로 유사하지만 주요 지분을 보유한 당사자는 다를 수 있습니다.

중앙 집중식 MPC: 모든 키 공유는 단일 엔터티(예: Coinbase)에 의해 제어되지만 격리되고 안전한 클라우드 환경에서 처리됩니다. 이 접근 방식은 기관 호스팅 공급자가 운영 효율성을 위해 자주 사용하지만 자산을 내부자 공격과 단일 실패 지점에 취약하게 만들 수 있습니다. 또한 공급자가 법적 관리인으로 등록해야 할 수도 있습니다.

하이브리드 MPC: 키 공유는 사용자, 지갑 공급자 및 타사 간에 배포됩니다. Fireblocks 및 ZenGo와 같은 공급자는 이 접근 방식을 사용하므로 모든 키 공유를 보유하는 하나의 중앙 집중식 공급자를 신뢰할 필요가 없습니다. 이것은 더 많은 보안을 제공하지만 키 공유를 안전하게 배포, 관리 및 취소하려면 여전히 중앙 집중식 당사자가 필요합니다.

2) MPC 지갑의 도전

어떤 모델을 사용하든 MPC 기반 호스팅 설정에는 세 가지 주요 문제가 있습니다.

문제 1: 서명 및 키 생성을 안전하게 조정하려면 중앙화된 당사자를 신뢰해야 합니다.

모든 하이브리드 또는 중앙 집중식 MPC 설정에는 하나 이상의 키 공유(및 잠재적으로 백업 키 공유)를 안전하게 보호하기 위해 반드시 신뢰할 수 있는 중앙 집중식 당사자가 필요합니다.

문제 1: 서명 및 키 생성을 안전하게 조정하려면 중앙화된 당사자를 신뢰해야 합니다.

모든 하이브리드 또는 중앙 집중식 MPC 설정에는 하나 이상의 키 공유(및 잠재적으로 백업 키 공유)를 안전하게 보호하기 위해 반드시 신뢰할 수 있는 중앙 집중식 당사자가 필요합니다.

이러한 키 공유를 보호하려면 정교하고 신뢰할 수 있는 클라우드 인프라가 필요합니다. 분산 키 생성, 키 순환 및 키 해지와 관련된 복잡성으로 인해 내부자 위협 및 중간자 공격을 통해 키 공유가 노출될 위험이 있습니다. 충분한 수의 키 공유가 노출되면 공격자가 자산을 완전히 제어할 수 있습니다.

문제 2: 키 해지 시 이전 키 공유가 적절하게 폐기된다는 것을 신뢰해야 합니다.

MPC 서명자의 액세스 권한을 취소하려면 키를 취소할 수 있어야 하며 모든 당사자가 이전 키 공유를 폐기하도록 신뢰해야 합니다. 암호화의 결정론적 특성을 고려할 때 키 공유를 취소하는 것은 어려울 수 있습니다. 지갑 공급자의 키 공유 인프라가 바이러스에 의해 손상되면 바이러스는 공격자가 모든 자산을 전송할 수 있는 충분한 키 공유를 확보할 때까지 키가 취소될 때마다 이전 키 공유를 수집하면서 휴면 상태를 유지할 수 있습니다.

문제 3: MPC 알고리즘에 버그가 없다는 것을 믿어야 합니다.

MPC 알고리즘에는 복잡한 암호화가 포함되며 알고리즘은 성능과 기능을 개선하기 위해 정기적으로 업데이트됩니다. 업계 표준 알고리즘에서 취약점이 발견되었으며 MPC 구현의 버그로 인해 취약점을 악용하는 공격자는 자금을 완전히 잃을 수 있습니다.

예를 들어 최근 암호화폐 공간에서 두 가지 취약점이 발견되었습니다.

1. GG18, GG20의 개인키 정보 유출(2019~2021년 Fireblocks에서 사용한 MPC 알고리즘)

2. BitGo의 MPC 구현에서 최근에 발견된 취약점으로, 단 하나의 서명으로 해커가 자금에 대한 전체 액세스 권한을 부여합니다.

3) 스마트 계약 > MPC 기반 지갑

스마트 계약 솔루션(안전)으로 이동하면 다음과 같은 모든 우려 사항을 제거할 수 있었습니다.

문제 1: 서명 및 키 생성을 안전하게 조정하려면 중앙화된 당사자를 신뢰해야 합니다.

Safe의 솔루션: 투명 + 검증 가능한 서명 및 키 생성. Waymont 금고는 2대2 안전한 다중서명 지갑입니다. 서명자 1이 등록된 모바일 장치이고 서명자 2가 Waymont 정책 보호자임을 온체인에서 확인할 수 있습니다. Waymont는 어떠한 주요 지분도 보유하지 않으므로 노출되더라도 거래를 시작할 수 없으며 자산이 손상될 수 있습니다.

문제 2: 키 해지 시 이전 키 공유가 적절하게 폐기된다는 것을 신뢰해야 합니다.

Safe 솔루션: 자유롭게 키를 회전하고 온체인에서 서명자를 제거 및 추가할 수 있습니다. 키 공유를 폐기할 필요가 없으며 악의적인 당사자가 오래된 키 공유를 축적할 위험이 없습니다.

문제 3: MPC 알고리즘에 버그가 없다는 것을 믿어야 합니다.

Safe의 솔루션: Safe의 스마트 계약은 1,000억 달러 이상의 자산을 보호합니다. 2018년부터 Safe의 스마트 계약은 공식 검증을 포함하여 업계 최고의 보안 표준을 통과했으며 11개 이상의 보안 감사에서 좋은 성과를 거두었습니다.

그러나 Safe를 사용하는 데 희생이 없는 것은 아닙니다. 보안을 최적화함으로써 증가된 가스 비용을 수용하고 일시적으로 EVM 체인에 잠급니다. 우리는 이것이 자명한 선택이라고 생각합니다. 우리의 절대적인 우선 순위는 안전입니다. 스마트 계약은 사용자에게 다음과 같은 다른 이점도 제공합니다.

1. 온체인 타임록 - 사용자가 취소할 수 있는 복구 및 지연 작업을 위한 타임록

2. 일괄 트랜잭션 - 사용자는 가스를 절약하기 위해 여러 트랜잭션을 함께 일괄 처리할 수 있습니다.

3. 스폰서 거래 - 다른 당사자가 사용자를 위한 거래를 후원할 수 있습니다(ERC20 토큰으로 가스 비용을 지불할 수도 있음).

4. 프로그래밍 가능한 보안 - 온체인 키 순환 및 프로그래밍 가능한 키 관리(예: $10,000 이상의 거래에는 추가 또는 다른 서명 키가 필요함)

MPC는 미래의 셀프 호스팅에서 여전히 역할을 할 수 있습니다. 관리인과 함께 일하고자 하는 기관에게는 합리적인 선택이 될 수 있습니다. 또는 Safe의 설립자 Lukas Schor가 지적한 것처럼 MPC는 스마트 계약 지갑 서명 키의 보안을 개선하는 솔루션으로 사용될 수 있습니다.

MPC는 미래의 셀프 호스팅에서 여전히 역할을 할 수 있습니다. 관리인과 함께 일하고자 하는 기관에게는 합리적인 선택이 될 수 있습니다. 또는 Safe의 설립자 Lukas Schor가 지적한 것처럼 MPC는 스마트 계약 지갑 서명 키의 보안을 개선하는 솔루션으로 사용될 수 있습니다.

전반적으로 적절한 구현을 통해 MPC 설정은 안전할 수 있습니다. 그러나 위에서 언급한 바와 같이 MPC는 고유한 신뢰 가정을 필요로 하며 Waymont와 대부분의 암호화 네이티브 사용자가 피하는 것을 선호하는 위험 벡터를 도입합니다. 결과적으로 Waymont는 안전한 스마트 계약을 통해 현재 1,000억 달러 이상의 자산을 자신 있게 보호하고 있습니다.

지갑 이더 리움 MPC 원장 메타마스크 하부 구조 ERC20 스마트 계약
댓글

모든 댓글

Recommended for you

  • Robinhood 최고 법무 책임자 Dan Gallagher는 SEC 회장직을 맡지 않을 것이라고 말했습니다.

    시장 뉴스에 따르면 로빈후드의 최고법률책임자 댄 갤러거(Dan Gallagher)는 미국 증권거래위원회 위원장직을 맡지 않겠다고 밝혔습니다.

  • 암호화폐의 정치적 성향: 트럼프의 당선은 최근 강세장을 촉발시켰습니다

    비트코인이 100,000달러를 목표로 하고 "땅콩 다람쥐"가 3,000%의 상승으로 헤드라인을 장식하면서 암호화폐가 이번 휴가 시즌에 다시 돌아왔습니다. 가족들은 비트코인, 밈코인, 그리고 "그 Elon 트위터 똥"에 대해 토론할 것이고, 지정된 "암호화폐 전문가"인 당신은 일반인을 설득하기 위해 이야기할 것이 필요합니다. 암호화폐는 자유주의적 광기입니다. 트럼프는 '암호화폐 황제'를 고려하고, 비트코인은 최고치를 경신하고, 블랙스톤 IBIT 옵션 출시, 비트코인의 프로그래밍 가능성이 부활하고, 트럼프는 SEC 의장을 위해 암호화폐 변호사를 고려하고, 하워드 루트닉을 상무장관으로 선택했습니다. 트럼프의 당선과 승리는 최신 암호화폐 상승장을 촉발시켰으며, 현재 많은 사람들이 이를 MAGA 및 Elon의 D.O.G.E. 사기의 최악의 과잉 행위와 연관시키고 있습니다. 여러분의 좌파 친척들이 암호화폐를 강력하게 지지하는 새로운 공화당 정부를 본다면 여러분의 상황에는 도움이 되지 않습니다. 당신의 사촌이 비트코인이 빨간색과 주황색과 연관되어 있다는 이유로 비트코인을 구매하지 않는다면, 사실을 살펴보세요.

  • 코사인: 사용자가 GPT를 사용하여 백도어가 있는 코드를 사용하는 봇을 작성한 후 개인 키가 피싱 웹사이트로 전송되었습니다.

    Slow Mist Cosine이 에 게시한 기사에 따르면. Cosine은 GPT/Claude와 같은 LLM을 사용할 때 이러한 LLM에 널리 퍼져 있는 속임수에 주의해야 함을 상기시켜 줍니다. 우리는 이전에 AI 중독 공격을 언급했으며 이제 이것은 암호화폐 산업에 대한 실제 공격 사례입니다.

  • 미국블록체인협회, 트럼프 행정부에 암호화폐 규제 권고안 제출

    미국 블록체인 협회(American Blockchain Association)는 우선순위를 발표했습니다. 주요 내용은 다음과 같습니다: 암호화폐 규제 프레임워크 구축, 암호화폐 및 블록체인 기술 기업의 탈뱅킹 종료, 새로운 SEC 의장 임명 및 SAB121 폐지, 재무부 및 IRS의 새로운 리더십 임명, 암호화폐 자문위원회 설립, 의회 및 연방 규제 기관.

  • 미국 대법원, 주주 증권 사기 소송을 회피하려는 페이스북의 시도 기각

    미국 대법원은 META가 소유한 페이스북이 주주 증권 사기 소송을 회피하려고 시도한 사건을 기각했습니다.

  • 11월 미국의 최종 1년 인플레이션율은 당초 전망치 2.7%, 종전 2.60%에서 2.6%로 상향 조정됐다.

    11월 미국의 최종 1년 인플레이션율은 2.6%로 예상되는데, 이는 기존 전망치 2.7%와 종전 2.60%보다 대폭 상향된 수치이다. 11월 미국의 5~10년 물가상승률 최종 기대치는 3.2%로, 기존 전망치 3.1%와 종전 3.10%보다 대폭 상승했다.

  • 예측 시장 플랫폼 폴리마켓(Polymarket)은 규제 조사로 인해 프랑스 사용자에 대한 액세스를 중단했습니다.

    분산형 예측 시장 플랫폼인 Polymarket은 프랑스 사용자에 대한 플랫폼 액세스를 중단한다고 발표했습니다. 이번 조치는 프랑스 국립도박국(ANJ)이 플랫폼에 대한 도박 규정 준수 조사를 시작한 지 몇 주 후에 나온 것입니다. 이번 조사는 해당 플랫폼에서 2024년 미국 대선에서 트럼프의 승리에 거액의 베팅을 한 프랑스 트레이더로부터 시작된 것으로 전해졌다. Polymarket은 IP 금지를 시행했지만 프랑스 암호화폐 뉴스 사이트인 The Big Whale은 사용자가 여전히 VPN을 통해 플랫폼에 액세스할 수 있다고 보도했습니다. 보도 시점 현재 Polymarket 서비스 약관은 관련 제한 사항을 업데이트하지 않았습니다.

  • 영국, 2025년 초 암호화폐 및 스테이블코인 규정 공개

    영국 노동당 정부는 규제를 단순화하고 스테이블 코인 및 스테이킹과 같은 핵심 영역을 해결하는 것을 목표로 2025년 초에 포괄적인 암호화폐 규제 프레임워크를 공개할 예정입니다. 영국은 업계를 규제하려는 글로벌 경쟁을 반영하여 내년에 암호화폐 프레임워크를 발표할 계획이며, 유럽 연합과 같은 다른 관할권에서는 이미 혁신과 경제적 기회를 유치하기 위한 전략을 발전시키고 있습니다. 영국 정부는 런던시에서 열린 글로벌 토큰화 서밋에서 2025년 초에 암호화폐 산업을 위한 통합 규제 프레임워크를 도입할 계획을 밝혔습니다. 새로운 프레임워크의 일환으로 스테이블코인은 더 이상 영국의 기존 결제 서비스 규정에 의해 규제되지 않습니다. 정부는 이러한 규정이 현재 사용 사례에 부적절하다고 생각합니다. 이러한 변화는 안정성을 위해 종종 미국 달러와 같은 자산에 고정되는 스테이블 코인의 진화하는 특성에 영국의 접근 방식을 맞추는 것을 목표로 합니다.

  • 아마존, 'OpenAI 라이벌' 앤트로픽(Anthropic)에 40억 달러 추가 투자

    Amazon과 Anthropic은 협력을 심화하고 서로에게 40억 달러를 추가로 투자할 예정입니다. 올해 9월, 인공지능 스타트업 Anthropic은 최대 400억 달러 가치의 새로운 자금 조달을 모색했습니다. Anthropic은 전 OpenAI 임원들이 2021년에 설립한 회사로 설명 가능하고 안전하며 제어 가능한 인공 지능 시스템을 만드는 데 중점을 두고 있습니다. 회사의 주력 AI 모델인 Claude는 사전 정의된 원칙을 사용하여 출력을 안내하고 오류 또는 차별적 반응을 방지하는 AI 모델인 "Constitutional AI"를 기반으로 실행됩니다.

  • Sui, Franklin Templeton Digital Assets와 전략적 파트너십 발표

    Sui 재단은 Sui 생태계 구축자를 지원하고 Sui 블록체인 프로토콜을 활용한 새로운 기술을 배포하는 데 중점을 두기 위해 Franklin Templeton Digital Assets와 전략적 파트너십을 발표했습니다.

매일 필독

대중적인 활동

Delysium $AGI & AI Private Yacht Party

Delysium $AGI & AI Private Yacht Party

March 27 - March 27
Seoul
Cointime
Content
Company