Phỏng vấn | Khôi phục Crypto là một huyền thoại, phòng ngừa là chìa khóa: Circuit

Nạn nhân của các vụ hack crypto thường bị lừa đảo một lần nữa bởi các công ty khôi phục tài sản không đáng tin cậy, theo Harry Donnelly, CEO của Circuit.

Việc áp dụng Crypto đang tăng lên, và ngày càng nhiều người tham gia. Tuy nhiên, dù đã trải qua nhiều năm đổi mới, crypto vẫn đang làm thất vọng một số người dùng dễ bị tổn thương nhất. Trong một sự cố gần đây, một người về hưu ở Mỹ đã mất 3 triệu USD tiền XRP sau khi vô tình làm lộ ví lạnh của họ.

Sự cố này cho thấy bảo mật vẫn là vấn đề hàng đầu trong crypto. Vì lý do này, crypto.news đã nói chuyện với Harry Donnelly, CEO của công ty bảo mật crypto Circuit. Ông giải thích tại sao hệ sinh thái đã mất hơn 3 tỷ USD do hack chỉ trong năm nay, và tại sao việc khôi phục thường rất khó khăn.

Crypto.news: Chúng tôi đã thấy một sự cố bảo mật gần đây khi chủ ví mất toàn bộ tiền tiết kiệm cả đời trong một vụ hack. Điều này cho chúng ta biết gì về bảo mật tài sản crypto?

Harry Donnelly: Đây là sự cố ví XRP: một người về hưu ở Mỹ được cho là đã mất khoảng 3 triệu USD tiền XRP, tiền tiết kiệm hưu trí của họ. ZacXBT đã đăng về việc này trên X. Nạn nhân cho biết họ đã cố gắng báo cáo với cảnh sát nhưng không thể liên hệ được với cơ quan thực thi pháp luật. Sau đó, tiền đã bị rửa qua khoảng 120 giao dịch.

Chúng tôi không có xác nhận đầy đủ về vector tấn công chính xác vì nạn nhân không am hiểu về crypto; khi không có quyền truy cập vào laptop của họ để theo dõi các bước, rất khó để chắc chắn. Nhưng những trường hợp như thế này thường liên quan đến phần mềm độc hại quét thiết bị để tìm cụm từ khoá và các bí mật khác.

Trong trường hợp này, người đó nghĩ rằng họ có một ví lạnh - mua từ Ellipal - nhưng họ đã nhập cụm từ khoá vào laptop của mình. Điều đó đánh bại lưu trữ lạnh: một khi cụm từ khoá tồn tại trên một máy kết nối internet, sự bảo vệ của ví phần cứng về cơ bản đã mất.

CN: ZacXBT nói rằng nhiều công ty khôi phục tài sản đáng ngờ. Quan điểm của bạn là gì?

HD: Hoàn toàn đúng. Khi mọi người tuyệt vọng, những kẻ xấu sẽ lợi dụng họ. Những kẻ tồi tệ nhất thường tối ưu hóa SEO cho trang web của họ để xuất hiện đầu tiên khi ai đó tìm kiếm một cách hoảng loạn "khôi phục crypto bị đánh cắp."

Khôi phục tài sản hợp pháp rất khó. Crypto là tài sản vô danh: sở hữu khóa đồng nghĩa với quyền sở hữu. Bạn không thể gọi cho ngân hàng và đảo ngược giao dịch on-chain. Các công ty khôi phục hợp pháp thường là các đơn vị pháp lý làm việc với cơ quan thực thi pháp luật, sử dụng các công cụ điều tra blockchain như Chainalysis hoặc TRM Labs, theo dõi tiền và cố gắng khiến các sàn giao dịch đóng băng tài khoản bằng thông báo pháp lý.

Nhưng điều đó chỉ hiệu quả nếu tiền đến một sàn giao dịch KYC sẵn sàng và có khả năng hợp tác và nếu khu vực pháp lý hợp tác. Kẻ tấn công thường chuyển tiền đến các sàn giao dịch không hợp tác hoặc dịch vụ trộn; năm ngoái, dưới 5% tài sản đã được khôi phục bằng những phương pháp đó.

Các công ty săn mồi sẽ tính phí khoảng 10,000 USD cho các quét cơ bản và tạo ra báo cáo cung cấp thông tin sai lệch cho nạn nhân. Ví dụ, họ bảo nạn nhân gửi email cho Tornado Cash, điều này hoàn toàn vô ích.

CN: Vậy có vẻ như việc khôi phục là một cơ hội rất nhỏ. Giải pháp thay thế là gì?

HD: Vì xác suất khôi phục thấp, phòng ngừa là rất quan trọng. Circuit tập trung vào việc ngăn chặn mất mát thay vì dựa vào khôi phục sau khi bị hack. Một khi tiền rời khỏi ví, cơ hội khôi phục rất mong manh; ngăn chặn trộm cắp trước khi nó xảy ra có xác suất thành công cao hơn nhiều.

Có hai hình thức mất mát: (1) bạn mất quyền truy cập vào khóa riêng tư (không thể truy cập tiền) hoặc (2) người khác lấy được khóa riêng tư của bạn (tiền bị đánh cắp). Circuit giải quyết cả hai bằng cách bảo vệ tài sản trực tiếp thay vì chỉ bảo vệ khóa.

Chúng tôi xây dựng cái gọi là trích xuất tài sản tự động. Thay vì chỉ bảo vệ khóa riêng tư, chúng tôi tạo sẵn các giao dịch đã ký để chuyển tiền đến một ví dự phòng đã định sẵn. Những giao dịch này được tạo trước, mã hóa và lưu trữ - không bao giờ phát sóng trừ khi người dùng hợp pháp kích hoạt chúng.

CN: Vậy ai kiểm soát nút đỏ lớn đó?

HD: Người dùng kiểm soát nó. Họ vào ứng dụng web của chúng tôi, xác minh danh tính bằng 2FA và nhấn nút. Điều đó giải mã và phát sóng giao dịch, và tiền chuyển đến ví dự phòng.

Chúng tôi lưu trữ giao dịch đã ký trước, được mã hóa, nhưng người dùng là người duy nhất có thể giải mã và kích hoạt nó. Họ xác định địa chỉ đích trước, và chúng tôi không thể thay đổi địa chỉ đó. Một khi nó được ký, nó bị khóa. Hệ thống của chúng tôi chỉ đơn giản là giữ nó an toàn và cho phép người dùng kích hoạt nó khi cần.

CN: Ai đang sử dụng dịch vụ này hiện nay?

HD: Hiện tại, tất cả là các tổ chức và doanh nghiệp. Chúng tôi chưa phục vụ người dùng bán lẻ. Đối tác của chúng tôi là các sàn giao dịch, người quản lý tài sản, các quầy giao dịch OTC. Đây là những người quản lý số tiền lớn và tài sản của khách hàng. Đối với họ, thời gian ngừng hoạt động hoặc mất quyền truy cập có thể là thảm họa.

Một ví dụ là Shift Markets. Chúng tôi đang triển khai công nghệ của mình trên 150 sàn giao dịch mà họ làm việc cùng. Những sàn giao dịch này không thể mất quyền truy cập vào tiền, ngay cả trong vài giờ.

Đối với các tổ chức, không chỉ là ngăn chặn trộm cắp. Đôi khi ai đó làm mất thiết bị ký, hoặc một dịch vụ như Fireblocks gặp sự cố. Điều đó có thể dừng tất cả hoạt động - không nạp, không rút.

Với Circuit, họ có thể khôi phục trong vòng vài phút thay vì bị ngừng hoạt động trong nhiều ngày. Và đối với họ, điều đó có thể có nghĩa là cứu vãn danh tiếng - và hàng triệu đô la trong việc giữ chân khách hàng.

CN: Và làm thế nào người dùng chọn ví dự phòng của họ? Nó có nên là một ví phần cứng khác, một tài khoản sàn giao dịch, hay một ví giám sát viên?

HD: Câu hỏi hay. Chúng tôi khuyến nghị rằng ví dự phòng phải an toàn như ví chính. Điều đó có nghĩa là sử dụng các nhà cung cấp ví khác nhau, lưu trữ khóa ở các vị trí khác nhau, và đảm bảo cơ sở hạ tầng không được đặt cùng một chỗ. Bạn không muốn cả hai bộ khóa trong cùng một kho hoặc máy chủ.

Ngoài ra, chúng tôi thực thi phê duyệt theo định mức - chính sách 4 mắt hoặc 6 mắt - để tránh bất kỳ điểm lỗi đơn lẻ nào. Hầu hết các tổ chức lớn đã hoạt động theo cách này. Một số sử dụng các thiết lập MPC hoặc đa chữ ký khác nhau cho ví chính và ví dự phòng. Những người khác sử dụng các cơ sở an toàn khác nhau hoặc thậm chí các khu vực pháp lý khác nhau. Ý tưởng là: nếu thảm họa xảy ra với một hệ thống, hệ thống kia không bị ảnh hưởng.

Chúng tôi cũng làm việc với các công ty bảo hiểm lớn, và họ công nhận đây là một yếu tố giảm rủi ro. Nhiều yêu cầu bảo hiểm crypto là cho việc mất quyền truy cập hoặc tiền bị đánh cắp. Bằng cách thêm công nghệ của Circuit, các công ty trở thành rủi ro thấp hơn. Vì vậy, các nhà cung cấp bảo hiểm cung cấp giảm giá cho khách hàng sử dụng chúng tôi. Điều đó làm cho bảo hiểm dễ tiếp cận hơn và, đến lượt nó, mang nhiều vốn tổ chức hơn vào crypto.

CN: Bạn có thực sự có trường hợp nào mà ai đó phải sử dụng nút đỏ không?