Новий вибір для управління активами у блокчейні: безпечне та надійне рішення з мультипідписом

Вступ

З початком зимового сезону на ринку криптовалюти, хакерські атаки поступово переходять від у блокчейні протоколів до особистих гаманців. Водночас, сильний цикл підвищення процентних ставок призвів до значного витягування ліквідності, що спричинило крах кількох централізованих установ, серйозно завдавши шкоди активам користувачів. Нещодавно частішають інциденти безпеки, зловживання активами відбуваються постійно, тому забезпечення безпеки активів стає особливо важливим, що також привертає увагу до різноманітних децентралізованих рішень для управління безпечними активами.

Важливість контролю над власними активами

Протягом тривалого часу багато користувачів обирали послуги централізованих установ для входу в криптовалютну індустрію, оскільки ці установи пропонують досвід роботи, подібний до традиційного Web 2.0. Однак у світі блокчейну є популярна приказка: "Not your keys, not your coins" (тільки маючи приватні ключі, можна дійсно контролювати активи). Користувачі, обираючи централізовані установи заради зручності, також жертвують певною безпекою. Як тільки у централізованої установи виникають проблеми, активи користувачів стикаються з величезними ризиками.

Як приклад нещодавнього інциденту з біржею, ця платформа привласнила активи користувачів, що призвело до дефіциту в близько 60 мільярдів доларів. З поширенням ризиків й інші пов'язані централізовані установи також почали стикатися з проблемами. За оцінками, кількість постраждалих користувачів у світі може досягати мільйона. Якщо б користувачі з самого початку навчилися управляти своїми активами за допомогою власних приватних ключів і зберігали більшість своїх активів у децентралізованих установах (наприклад, апаратних гаманцях, багатопідписних контрактах тощо), це могло б значною мірою запобігти таким втратам.

Однак управління приватними ключами є непростим завданням, що включає безпекові заходи та найкращі практики в кількох аспектах, таких як генерація, зберігання, управління та використання приватних ключів.

У вересні 2022 року, один відомий маркет-мейкер через використання проблемного інструменту генерації приватних ключів призвів до витоку приватного ключа власника відповідного контракту, що спричинило збитки на суму близько 160 мільйонів доларів.

У тому ж році, в листопаді, гаманцем відомого інвестора також заволоділи, сума справи склала 42 мільйони доларів. Після аналізу стало зрозуміло, що проблема полягала в витоку мнемонічної фрази гаманця, яким користувався користувач.

Ці події вказують на те, що управління приватними ключами є складною проблемою. У поточному середовищі використання послуг централізованих установ супроводжується величезною кризою довіри. Отже, чи існує спосіб, який дозволяє безпечно управляти своїми активами, не боячись, що витік одного приватного ключа призведе до втрати всіх активів?

Доросла багато підпису схема

Оскільки структура облікових записів Ethereum сама по собі не підтримує багато підписів, користувачі Ethereum не можуть безпосередньо створювати багатопідписні адреси, як це роблять користувачі Bitcoin. Проте Ethereum підтримує реалізацію складної логіки через смарт-контракти, тому можна створювати багатопідписні гаманці у блокчейні, написавши смарт-контракт. Варто зазначити, що сам код смарт-контракту також може містити ризики безпеки, і в історії не раз траплялися атаки на вразливості контрактів. Тому при виборі багатопідписного гаманця слід використовувати рішення, які пройшли багаторазову перевірку та довгострокове тестування. Один відомий багатопідписний варіант безумовно є кращим вибором.

За допомогою цієї схеми мультипідпису користувачі можуть довірити свої активи мультипідписному контракту та вибрати відповідні правила підпису відповідно до потреб. Активи в мультипідписному гаманці більше не управляються приватним ключем одного адреси, а спільно управляються кількома адресами. Для ініціювання кожної транзакції необхідно, щоб кілька адрес підписали, і загальна кількість дійсних підписів повинна досягти заданого порогового значення. Цей підхід може ефективно усунути ризик втрати всіх активів через витік приватного ключа.

Однак така багатопідписна схема, підвищуючи безпеку активів, має певні недоліки в зручності використання:

1. Кожна транзакція потребує багатостороннього підтвердження для виконання, що знижує ефективність.
2. Не підтримується специфічна обробка децентралізації, права членів гаманця повністю однакові.
3. Не підтримується налаштування конкретних стратегій ризик-менеджменту для інтерактивних контрактів.

Отже, чи існують кращі продукти з мультипідписом, які можуть вирішити ці проблеми, зберігаючи при цьому початкову безпеку?

Гнучка децентралізація у блокчейні та рішення щодо управління ризиками

Новий тип рішення, що базується на зрілій багатопідписній схемі, що реалізує повторну розробку, використовує функціональність розширення існуючого модуля, що забезпечує гнучке налаштування взаємодії між багатопідписними гаманцями та проектними контрактами. Конкретно, це нове рішення може надати такі послуги:

одностороннє розподілення прав

Підтримка управління правами на рівні функцій дозволяє налаштовувати різні права взаємодії з функціями для конкретних ролей користувачів. Достатньо просто налаштувати в веб-інтерфейсі, щоб надати ролям користувачів права на виклик конкретних контрактів і конкретних функцій.

Наприклад, можна налаштувати роль harvester так, щоб вона могла викликати лише функцію collect контракту NonfungiblePositionManager певного DEX, тобто лише виконувати операцію отримання винагороди за LP-транзакції.

Під час додавання учасників можна вказати обмежені ролі користувачів. Адреса, якій надано певну роль, може змусити мультипідписний гаманець виконати конкретний виклик контракту. Таким чином, певні користувачі можуть взаємодіяти з DApp через WalletConnect, виконуючи операції, такі як отримання комісії за LP, без необхідності підтвердження підпису всіх учасників мультипідпису.

Цей механізм децентралізації як підвищує ефективність операцій, так і не загрожує безпеці існуючого гаманця. Навіть якщо обліковий запис піддається атаці або ключ доступу витоку, це не загрожує основним активам мультипідписного гаманця.

ACL управління ризиками

Окрім механізму розподілу прав на рівні функцій, також пропонується більш детальний ACL(Access Control List) механізм управління ризиками контрактів. Користувачі можуть налаштовувати будь-які правила розподілу прав та управління ризиками відповідно до своїх бізнес-сценаріїв, наприклад:

• Обмеження діапазону параметрів для виклику контракту користувача (наприклад, під час вказівки свопу дозволяється лише операції з фіксованими кількома типами токенів)
• Обмежити кількість викликів певної функції контракту
• Проведення перевірки ризиків для взаємодії з контрактом (наприклад, перевірка, щоб збитки від ковзання свопу не перевищували певний відсоток)

Варто зазначити, що ця нова схема є важливою складовою частиною децентралізованого хостингу, її вихідний код смарт-контрактів у блокчейні вже відкритий. Користувачі або треті сторони можуть провести аудит відповідного вихідного коду смарт-контрактів, щоб забезпечити відсутність ризику централізованих зловживань у функціоналі хостингу.

Підсумок

Нещодавні інциденти безпеки нагадують нам, що незалежно від того, зберігаються активи в централізованих установах чи управлінні приватними ключами та мнемонічними фразами, існують певні ризики безпеки активів. Ці ризики спонукають усіх шукати кращі рішення для зберігання активів. Відомі централізовані установи зберігання активів запроваджують рішення на основі MerkleTree для підтвердження резервів, а експерти галузі також обговорюють обмеження існуючих рішень та їх вдосконалення.

Новий тип децентралізованого хостингу розширює зрілі багатопідписні рішення в галузі, надаючи більш гнучкі налаштовувані функції, такі як розподіл влади та управління ризиками ACL, що краще врівноважує безпеку активів і зручність використання гаманця. Це рішення надає новий вибір для установ і приватних осіб, що допомагає краще управляти коштами під час капітальної зими та готуватися до наступного етапу ринкового процвітання.