虽然黑客的技术经常成为头条新闻,但对加密公司的另一个更低调的威胁正潜伏在离家更近的地方。
根据Verizon的一项调查,内部人员对大约22%的安全事件负责,而金融服务行业受到的影响最为严重。
这些内部威胁的范围包括低级员工的贪污,到勾结中层管理人员,以及因离婚或吸等生活冲击而出轨的明星交易员。
典型例子包括:
流氓商人
最著名的是尼克·里森,他在未经授权的交易中损失了13亿美元,引发了1995年巴林银行的倒闭。
Stargate EqReward升级设计提案已获投票通过:6月1日消息,Snapshot投票页面显示,跨链桥Stargate社区已投票通过“升级Stargate EqReward设计”提案,最终支持率达92.66%。该提案或可解决此前某巨鲸反复添加和移除流动性以套利的行为。
该提案提议取消给予再平衡转账的折扣,使其支付较少的协议费(将所有转账的协议费保持在6-10个基点);更新feelibrary,使分配的最大eqReward是该途径的最大协议费(6-10 个基点),这意味着再平衡协议用户将收到0费用,但不会因为这样做而获得额外的奖励。上述更新不会对Stargate核心协议产生实质性影响。通过修改feelibrary,只返还费用而非提供奖励,用户将无法获取额外eqRewards,允许协议保留更多的eqRewards,并激励Stargate的持续平衡。[2023/6/1 11:52:41]
挪用公款
Qredo更新产品路线图,计划陆续集成Polkadot、BNB Chain等:3月17日消息,数字资产管理平台Qredo更新产品路线图,计划在二季度集成 Polkadot、BNB Chain、Avalanche、Fantom、Terra、Near 网络,引入计算托管策略、自托管计算审批者、Power DeFi API,稳定币铸造等功能。同时在下半年集成 Elrond、Stellar、Cosmos、Ripple 网络并推出法币通道、移动软件开发 SDK 等功能。[2022/3/17 14:01:27]
从轻微的盗窃到复杂的操作,例如股权融资丑闻,其中一家保险公司的管理层创建并为60,000名假冒者提供保险。
共谋
Qredo完成8000万美元A轮融资,10T Holdings领投:2月4日消息,加密基础设施初创公司Qredo宣布以4.6亿美元估值完成8000万美元A轮融资,本轮融资由10T Holdings领投,Coinbase Ventures、Kingsway Capital、HOF Capital、Raptor Group和GoldenTree Asset Management等参投。
Qredo是一个专注于去中心化托管、结算和跨链交换的加密基础设施公司,其客户包括Coinbase、Celsius、Deribit 和GSR等主流加密交易平台和公司。[2022/2/5 9:31:45]
无论是内部人员之间的情况,比如南非邮政银行的情况,员工复制主加密密钥以从银行的账户余额中窃取数百万美元。或者通过协助外部人员,例如当一名Coutts员工以120万英镑的价格将个人客户详细信息出售给者时。
Clearpool与Qredo 合作,为机构对DeFi的安全访问提供支持:据官方消息,Clearpool与去中心化数字资产基础设施和技术提供商Qredo合作,使机构能够安全访问数字资产和DeFi。
Qredo的托管解决方案将集成到Clearpool的协议中,使机构能够在强大的基础设施上轻松安全地将资本部署到DeFi中。此外,Qredo将把机构借款人和贷款人社区带Clearpool的生态系统中。
Clearpool协议将机构借款人与DeFi生态系统直接联系起来,允许流动性提供商,无论是机构还是个人,向他们选择的机构放贷。[2022/2/3 9:28:46]
正如这些事件所表明的那样,没有足够的控制和监督可能会对传统金融业造成重大损害。但在加密市场中,资产所有权的所有权力都由一串代码赋予,没有这样的保护可能是致命的。
网络安全首先是一个人的问题
加密内部威胁
只需持有私钥,任何人都可以将所有资金从钱包中取出。此外,数字资产交易是不可逆的——所以你不能简单地回滚区块链来收回资金!
因此,尽管与传统金融相比,整个加密货币市值几乎是九牛一毛,但恶意内部人士在短短几年内就造成了巨大的损失。
这其中的许多损失被认为是被掩盖或归咎于无辜的局外人。但经被曝光,罪魁祸首是公司内部人员,舆论一片哗然:
维吉尔·西格玛资本(2021)
在最引人注目的例子之一中,9000万美元基金VirgilSigma的创始人几乎耗尽了所有资产来支付他奢华的生活方式。
Coinsecure
印度交易所Coinsecure的首席安全官煞费苦心将比特币黄金分叉的收益卷走,导致客户而损失了350万美元。
QuadrigaCX(2018)
加拿大交易所QuadrigaCX的首席执行官在印度悄然去世时,加密投资者的资金不足1.9亿美元,他随身携带了客户资产的私钥。
这种棘手的情况是内部控制松懈和运营安全性差的症状。它们还经常涉及为个人设计的托管基础设施,这些基础设施已被重新用于组织用途。例如,受信任的员工可能会在无人监督的情况下访问冷存储设备,例如保存公司加密资产密钥的Ledger钱包。或者,可以在团队成员之间共享钱包,他们每晚掷硬币看谁把钱包带回家保管。
在下一个最高级别,许多机构级托管解决方案提供了急需的治理工具,但它们仍然需要受信任的第三方来持有密钥或密钥分片。这最大限度地减少了内部威胁的可能性,但它使组织面临保管人腐败或持有敏感关键材料的集中式服务之间串通的可能性。
Qredo可以解决技术安全威胁问题
Qredo使机构能够完全控制内部资产并引入自己的监督和控制,而无需受信任的第三方,从而最大限度地提高运营安全性:
无私钥风险
易受攻击的私钥被一个灵活的治理层所取代,该层由分散的多方计算(dMPC)提供支持。
复杂的治理
治理可以根据团队要求进行定制,控制和监督权限可分配给组织中的不同角色——从交易员到审批者、管理员等等。
与多重签名不同,dMPC提供的治理在操作上是灵活的;随着组织的发展,可以轻松更改签名阈值和更改权限。
不可变的日志
每个托管操作都不可更改地印在Qredo区块链中,确保交易批准记录不能更改。此外,日志可以快速导出以供审计——最大限度地减少可疑交易被忽视的可能性。
Qredo上的机构级自托管
随着我们进入远程优先工作的后新冠时代,人们正在招聘他们以前从未见过的团队成员,而尽职调查通常只是事后才想到的。这使得拥有足够的机构控制比以往任何时候都更加重要。不仅要防范恶意内部人员,而且——正如将在#QredoFixesThis的下一部分中介绍的那样——防止疏忽和人为错误。
设立QREDO钱包
原地址:https://www.qredo.com/blog/qredo-fixes-this-insider-threats
Qredo中文页面:qredo.com/zh-cn
他们做对了什么?一个项目的成功不能仅仅归因于几个因素,它需要出色的产品、优质的团队、适合的契机以及运气.
1900/1/1 0:00:00凭借独到的金融市场眼光,顶峰AscendEX致力在全球范围内广泛甄选具有应用价值潜质的优秀区块链项目。精准的市场定位和严格的遴选标准,让顶峰AscendEX稳居全球加密交易平台投资回报率前列.
1900/1/1 0:00:00撰文:杨树链上世界里,巨鲸地址的每一次大额转账,都可能导致二级市场的腥风血雨;持仓大户背后抽丝剥茧的资金网络,也往往能够挖掘出早期的财富密码.
1900/1/1 0:00:00“近日圈内FOMO情绪高涨的新算法稳定币项目Nirvana创建了一种新型的AMM机制,解决了算法稳定币在流动性上的问题,同时被其反复套娃机制,有庞氏的影子.
1900/1/1 0:00:00“波卡知识图谱”是我们针对波卡从零到一的入门级文章,我们尝试从波卡最基础的部分讲起,为大家提供全方位了解波卡的内容,当然这是一项巨大的工程,也充满了挑战.
1900/1/1 0:00:00北京时间2022年4月21日下午3时15分,CertiK审计团队监测到ZEED项目被攻击,造成了104万美金的财产损失.
1900/1/1 0:00:00