El intercambio de criptomonedas japonés Liquid Global vio casi $ 100 millones en fondos robados el jueves.
La firma dijo que el ataque tuvo como objetivo su sistema de custodia multipartidista (MPC).
«Esta vez, la billetera MPC (utilizada para la gestión de almacenamiento / entrega de criptoactivos) utilizada por nuestra subsidiaria de Singapur Quoine Pte fue dañada por el ataque», dijo la compañía en una publicación de blog sobre el incidente, traducida del japonés por Google.
Los hacks no son infrecuentes en el mundo de las criptomonedas, pero el ataque Liquid fue digno de mención porque MPC, una técnica criptográfica avanzada en la que la clave privada que controla los fondos es generada colectivamente por un conjunto de partes, ninguna de las cuales puede ver fragmentos calculados por otros. – parece ser la tecnología elegida por los bancos y las empresas de primera línea que buscan ingresar al mundo de las criptomonedas.
Las ofertas para las empresas MPC muestran la demanda de la tecnología. Dichos acuerdos incluyen la adquisición de Curv por parte de PayPal en marzo y la adquisición de Shard X por parte de Gemini en junio. Y BNY Mellon, el banco custodio líder en el mundo, consolidó una asociación con el proveedor MPC Fireblocks a principios de este año.
Los bancos que buscan la industria de las criptomonedas probablemente vean a MPC como deseable porque la tecnología se puede configurar para satisfacer sus necesidades y ofrece un producto autogestionado más flexible que simplemente entregar las claves a un tercero custodio.
MPC?
Sin embargo, la forma en que se pueden configurar las billeteras MPC es donde la debilidad, particularmente el error humano, puede infiltrarse, dijo el CEO de Fireblocks, Michael Shaulov.
Liquid Exchange utilizó la tecnología MPC proporcionada por Unbound Security, con sede en Israel, según dos fuentes familiarizadas con el acuerdo. Unbound es una empresa de cifrado muy respetada, respaldada por Goldman Sachs y utilizada por JPMorgan Chase en sus servicios basados en la cadena de bloques Onyx.
Un portavoz de Unbound dijo por correo electrónico que la empresa «no podía comentar artículos fuera de nuestro mandato».
Según Shaulov, el ataque del jueves a Liquid probablemente estuvo relacionado con un ataque al sistema del intercambio en noviembre pasado, cuando un atacante recopiló datos sobre la configuración de seguridad de la compañía.
«Aunque el ataque fue en sus carteras activas basadas en MPC, supongo que esto no tiene nada que ver con las vulnerabilidades de MPC», dijo Shaulov a CoinDesk.
Según Shaulov, la política de seguridad del intercambio probablemente se diseñó de tal manera que el pirata informático original pudo eludir todo el proceso de aprobación e instruir a las billeteras para que retiraran monedas, sin afectar la clave privada.
«En mi negocio, nada es cero por ciento», dijo Shaulov. «Pero las posibilidades de que el pirata informático pueda resolver algo con el protocolo Unbound MPC son muy, muy escasas».
Tal Be’ery, gerente de seguridad de la billetera ZenGo basada en MPC, compartió esta opinión.
«Lo más probable es que no sea el MPC, sino algún otro problema», le dijo a CoinDesk a través de Telegram. “MPC permite a los usuarios reducir efectivamente el riesgo de robo de claves por el factor de diferentes partes. Entonces puede ser 2 veces más difícil, 3 veces más difícil, etc., pero no imposible.
MPC solo no es suficiente
El ataque a Liquid prueba la tesis de que MPC por sí solo no es suficiente, según Lior Lamesh, CEO y cofundador de GK8, una empresa de tecnología de custodia israelí que utiliza MPC en combinación con cámaras acorazadas, que no están conectadas a Internet.
Lamesh dijo que la piratería tiene que ver con el retorno de la inversión y estima que, en promedio, un pirata informático tendría que invertir unos pocos millones de dólares para comprometer algunas computadoras conectadas a Internet. MPC significa que los fragmentos de clave, en lugar de estar en una computadora conectada a Internet, se encuentran en dos o tres computadoras diferentes conectadas a Internet, dijo Lamesh.
Cuantos más fragmentos, más caro es el ataque, pero sigue siendo una búsqueda valiosa para un pirata informático de criptomonedas que tiene como objetivo cientos de millones de dólares.
«MPC es más seguro que una billetera caliente, pero por sí solo no es suficiente para los bancos que tienen que manejar más de decenas de millones de dólares en criptomonedas», dijo Lamesh en una entrevista. «Pero está bien administrar, digamos, el 2% o el 3% de los recursos, mientras que la mayoría de los recursos se administrarán en una bóveda fría donde son 100% seguros ya que nunca están conectados a Internet».
