Nova opção de gestão de ativos na cadeia: solução de múltiplas assinaturas segura e confiável

Introdução

Com a entrada do mercado de criptomoedas no inverno, os ataques de hackers estão gradualmente mudando de protocolos na cadeia para carteiras pessoais. Ao mesmo tempo, o forte ciclo de aumento das taxas de juros levou a uma grande retirada de liquidez, causando a falência de várias instituições centralizadas, o que prejudicou gravemente os ativos dos usuários. Recentemente, os acidentes de segurança têm sido frequentes, com constantes incidentes de roubo de ativos, tornando a proteção dos ativos especialmente importante e fazendo com que diversas soluções de gestão de ativos de segurança descentralizada sejam muito procuradas.

A importância de controlar os seus ativos

Durante muito tempo, muitos usuários optaram por utilizar os serviços de instituições centralizadas para entrar na indústria de criptomoedas, uma vez que essas instituições oferecem uma experiência de operação semelhante à do tradicional Web 2.0. No entanto, há um ditado no mundo da blockchain: "Not your keys, not your coins" (só quem possui as chaves privadas pode realmente controlar os ativos). Ao escolher instituições centralizadas por conveniência, os usuários também sacrificam uma certa segurança. Uma vez que uma instituição centralizada enfrente problemas, os ativos dos usuários estarão em grande risco.

Usando um recente evento de uma exchange como exemplo, a plataforma desviou ativos dos usuários, resultando em um rombo de quase 60 bilhões de dólares. Com a propagação do risco, outras instituições centralizadas relacionadas também começaram a enfrentar problemas. Estima-se que o número de usuários afetados globalmente pode chegar a milhões. Se os usuários tivessem aprendido desde o início a gerenciar seus ativos usando suas chaves privadas e armazenando a maior parte de seus ativos em instalações descentralizadas (como carteiras de hardware, contratos multi-assinatura, etc.), poderiam evitar em grande medida tais perdas.

No entanto, a gestão de chaves privadas não é uma tarefa fácil, envolvendo medidas de segurança e melhores práticas em várias áreas, como geração, armazenamento, gestão e uso das chaves privadas.

Em setembro de 2022, uma conhecida instituição de market making teve uma violação de segurança devido ao uso de uma ferramenta de geração de chaves privadas com problemas, resultando na divulgação da chave privada do proprietário do contrato relacionado, causando uma perda de quase 160 milhões de dólares.

No mesmo ano, em novembro, a carteira de um investidor famoso também foi roubada, com um valor envolvido que alcançou 42 milhões de dólares. Após análise, o problema estava na divulgação das palavras-passe da carteira utilizada pelo usuário.

Esses eventos indicam que a gestão de chaves privadas é um problema complexo. No ambiente atual, o uso de serviços de instituições centralizadas apresenta uma enorme crise de confiança. Então, existe uma forma de gerir os próprios ativos de forma segura, sem ter que se preocupar com a perda total dos ativos devido ao vazamento de uma única chave privada?

Solução de múltiplas assinaturas madura

Devido à estrutura de contas do Ethereum não suportar o modo de múltiplas assinaturas, os usuários do Ethereum não conseguem criar endereços de múltiplas assinaturas diretamente como os usuários do Bitcoin. No entanto, o Ethereum suporta a implementação de lógicas complexas através de contratos inteligentes, portanto, é possível construir carteiras de múltiplas assinaturas na cadeia escrevendo contratos inteligentes. É importante notar que o código do contrato inteligente também pode apresentar riscos de segurança, e ataques a vulnerabilidades de contratos são comuns na história. Portanto, ao escolher uma carteira de múltiplas assinaturas, é necessário usar soluções que tenham sido auditadas várias vezes e verificadas ao longo do tempo. Uma solução de múltiplas assinaturas conhecida é, sem dúvida, uma boa escolha.

Com este esquema de múltiplas assinaturas, os usuários podem confiar seus ativos a um contrato de múltiplas assinaturas e escolher as regras de assinatura adequadas de acordo com suas necessidades. Os ativos da carteira de múltiplas assinaturas não são mais geridos pela chave privada de um único endereço, mas sim geridos em conjunto por vários endereços. Cada transação iniciada requer a assinatura de múltiplos endereços e exige que o número total de assinaturas válidas atinja o valor limite pré-definido. Este método pode eliminar efetivamente o risco de perda total de ativos devido ao vazamento da chave privada de um único indivíduo.

No entanto, esta solução de múltiplas assinaturas apresenta algumas deficiências em termos de facilidade de uso, ao mesmo tempo que melhora a segurança dos ativos:

1. Cada transação precisa de várias confirmações para ser executada, o que a torna menos eficiente.
2. Não suporta um tratamento de descentralização específico, os direitos dos membros da carteira são completamente iguais.
3. Não suporta a configuração de estratégias de controle de risco específicas para contratos interativos.

Então, existe um produto de multi-assinatura mais eficaz que resolva esses problemas, mantendo a segurança original?

Soluções flexíveis de descentralização e gestão de riscos na cadeia

Uma nova solução desenvolvida com base em um esquema de múltiplas assinaturas maduro, utilizando as funcionalidades de extensão do módulo original, permitindo uma personalização flexível da interação entre a carteira de múltiplas assinaturas e os contratos do projeto. Especificamente, esta nova solução pode oferecer os seguintes serviços:

Assinatura única e divisão de direitos

Suporta a gestão de direitos por função a nível de função, permitindo configurar diferentes permissões de interação para funções específicas de acordo com os papéis dos utilizadores. Basta uma configuração simples na interface web para conceder aos papéis dos utilizadores permissões de chamada para contratos específicos e funções específicas.

Por exemplo, pode-se configurar o papel de harvester para que apenas possa chamar a função collect do contrato NonfungiblePositionManager de um determinado DEX, ou seja, apenas pode realizar a operação de extração de recompensas de taxas de negociação de LP.

Ao adicionar membros, é possível especificar os papéis de usuário limitados. Um endereço que recebe um determinado papel pode permitir que a carteira multi-assinatura execute chamadas de transação de contrato específicas. Assim, usuários específicos podem interagir com DApps através do WalletConnect, realizando operações como receber taxas de LP, sem a necessidade de que todos os membros da multi-assinatura assinem e confirmem individualmente.

Este mecanismo de descentralização não só melhora a eficiência operacional, como também não representa uma ameaça à segurança da carteira original. Mesmo que uma conta seja atacada ou a chave privada seja divulgada, isso não ameaçará diretamente os ativos principais da carteira multi-assinatura.

ACL gestão de risco

Além do mecanismo de descentralização de funções, também oferece um mecanismo de controle de risco de contrato de ACL(Access Control List) com granularidade mais fina. Os usuários podem personalizar quaisquer regras de descentralização e controle de risco com base em seus próprios cenários de negócios, como:

• Restringir o intervalo de parâmetros do processo de chamada de contrato do usuário (por exemplo, ao especificar swap, apenas permitir a operação de algumas classes fixas de ativos token)
• Restringir o número de chamadas a uma função de contrato
• Realizar verificações de risco nas interações contratuais (como verificar se a perda por deslizamento de swap não é superior a uma certa percentagem)

Vale a pena mencionar que esta nova solução, como parte importante da solução de custódia descentralizada, tem seu código-fonte do contrato na cadeia totalmente aberto. Os usuários ou terceiros podem auditar o código-fonte do contrato relevante para garantir que não haja risco de comportamento malicioso centralizado na funcionalidade de custódia.

Resumo

Eventos de segurança recentes nos alertam que, independentemente de armazenar ativos em instituições centralizadas ou gerenciar as chaves privadas e frases de recuperação por conta própria, há riscos de segurança de ativos. Esses riscos estão impulsionando as partes a buscar melhores soluções de custódia de ativos. As principais instituições de custódia centralizadas estão lançando planos de prova de reservas baseados em MerkleTree, e especialistas do setor também discutiram as limitações e melhorias das soluções existentes.

A nova solução de custódia descentralizada expande as soluções de múltiplas assinaturas maduras da indústria, oferecendo funcionalidades personalizáveis mais flexíveis, como descentralização e controle de risco ACL, equilibrando melhor a segurança dos ativos com a facilidade de uso das carteiras. Esta solução oferece uma nova opção para instituições e indivíduos, ajudando a gerir melhor os fundos durante o inverno de capital e a preparar-se para a próxima onda de prosperidade do mercado.