一家加密货币初创公司的严重安全故障被曝光,该公司的投资者包括 Pantera 和 Jump Crypto,因为一台受感染的笔记本电脑被发现持有足够集中的多重签名 (multisig) 密钥。根据 CoinDesk 的一份报告,这次违规行为赋予了该设备足够的签名权限,有可能夺取该项目跨两个独立区块链网络的跨链桥接基础设施的控制权。
该事件凸显了这家初创公司运营安全协议中的根本缺陷。多重签名钱包的设计需要多个私钥来授权交易,这是一种旨在防止单点故障的保护措施。然而,在这种情况下,过多的关键密钥存储在一名员工的笔记本电脑上,从而抵消了多重签名系统的核心安全优势。
跨链桥是去中心化金融(DeFi)基础设施的关键和高价值部分,促进不同区块链之间的资产和数据转移。成功接管此类桥梁可能会让攻击者耗尽锁定的用户资金或扰乱网络运营,从而导致重大财务损失。
报告中引用的安全专家将这一失误描述为“基本”。将签名权集中在单个、可能易受攻击的端点(例如笔记本电脑)上,严重背离了管理数字资产的最佳实践,尤其是对于处理大量协议控制的风险资本支持的公司而言。
受感染设备上的密钥暴露立即引起了人们对所涉桥接器安全性的担忧。虽然尚不清楚是否有任何资金被盗,但该事件促使该初创公司进行了紧急内部审查和密钥轮换程序,以减轻威胁。