استعادة المفتاح الخاص تكشف عن مخاطر أمنية في 120 مليون محفظة

iconCryptoBriefing
مشاركة
AI summary iconملخص

تؤمن Privy أكثر من 120 مليون محفظة لأكثر من 2000 فريق مطور، مع معالجة حجم شهري يتجاوز 9 مليارات دولار. تعتمد البنية التحتية وراءها على تقنيتين متكاملتين: AWS Nitro Enclaves، وهي نوع من بيئة التنفيذ الموثوقة (TEE)، وتقسيم سر شامير (SSS)، وهو أسلوب تشفيري لتقسيم المفتاح الخاص إلى شظايا تُخزن من قبل أطراف منفصلة.

كيف يعمل النظام فعليًا

تستخدم Privy مشاركة سر شامير لضمان ألا يحتفظ أي كيان واحد بمفتاح خاص كامل أثناء العمليات العادية. تُوزَّع القطع، وفقط عندما يحتاج المستخدم إلى توقيع معاملة، تجتمع هذه الشظايا مؤقتًا داخل محيط آمن.

هذا المجمع هو نظام AWS Nitro: بيئة حوسبة معزولة مصممة لفصلها تمامًا عن باقي بنية السحابة، بما في ذلك أمازون نفسها.

إعلان

المشكلة هي أن خطوة إعادة التكوين، حيث تُجمع شظايا المفتاح مؤقتًا للتوقيع، تخلق نافذة. تسمح تقنية تُسمى Prime+Probe لمهاجم يشارك نفس الجهاز الفعلي بتقدير العمليات الحسابية التي تحدث داخل بيئة يُفترض أنها معزولة، من خلال مراقبة أنماط في ذاكرة التخزين المؤقت للمعالج. تم تصميم AWS Nitro خصيصًا لمنع هذا النوع من الهجمات من خلال العزل الصارم، لكن الأبحاث الأكاديمية الحديثة قد اختبرت حدود هذا العزل في بيئات السحابة بشكل عام. لم يتم توثيق أي هجوم مؤكد من طرف إلى طرف ضد التنفيذ المحدد لـ Privy بشكل عام.

علامة التدقيق التي تهم

كشفت مراجعة أمنية لعام 2023 عن ثغرات محتملة في مكتبة Shamir’s Secret Sharing الخاصة بـ Privy المتعلقة بهذا النموذج التهديدي. وحددت مراجعة Cure53 نقاط ضعف يمكنها، تحت ظروف معينة، تعريض النظام للاستغلال عبر قنوات جانبية للذاكرة المؤقتة. وأضافت Privy بعد ذلك ميزات أمنية، بما في ذلك تكامل Blockaid لفحص المعاملات اعتبارًا من مارس 2025.

نهج Privy، الذي يجمع بين TEE و SSS، يتطلب إعادة بناء المفتاح بالكامل في لحظة التوقيع. أما فئة أخرى من الحلول، تُسمى الحسابات متعددة الأطراف (MPC)، فهي مصممة بحيث لا يُجمع المفتاح أبدًا بالكامل في أي مكان أو في أي وقت. يتم التوقيع من خلال عملية رياضية موزعة، حيث يساهم كل طرف في جزء من الحساب دون أن يرى المفتاح الكامل، مما يلغي نافذة إعادة التكوين بالكامل.

ما يعنيه ذلك لسترايب والسوق الأوسع

تم تفسير استحواذ Stripe على Privy في يونيو 2025 على نطاق واسع كإشارة إلى أن التكنولوجيا المالية التقليدية جادة بشأن البنية التحتية للعملات المشفرة. يشمل قاعدة عملاء Privy التي تخدمها من خلال المنتجات المتكاملة مع Stripe المستهلكين العاديين الذين قد يكون لديهم فهم ضئيل جدًا لما هو المفتاح الخاص حتى.

لا تستخدم Privy فقط النُهج القائمة على TEE. يعتمد العديد من مزودي المحافظ المنافسين على هياكل مشابهة. إذا تطور تهديد قناة التخزين المؤقت الجانبي من الناحية النظرية إلى العملية، فإن التعرض يكون صناعيًا بالكامل، وليس محددًا بشركة معينة.

إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة قد حصلت عليها من أطراف ثالثة ولا تعكس بالضرورة وجهات نظر أو آراء KuCoin. يُقدّم هذا المحتوى لأغراض إعلامية عامة فقط ، دون أي تمثيل أو ضمان من أي نوع ، ولا يجوز تفسيره على أنه مشورة مالية أو استثمارية. لن تكون KuCoin مسؤولة عن أي أخطاء أو سهو ، أو عن أي نتائج ناتجة عن استخدام هذه المعلومات. يمكن أن تكون الاستثمارات في الأصول الرقمية محفوفة بالمخاطر. يرجى تقييم مخاطر المنتج بعناية وتحملك للمخاطر بناء على ظروفك المالية الخاصة. لمزيد من المعلومات، يرجى الرجوع إلى شروط الاستخدام واخلاء المسؤولية.