Privy melindungi lebih daripada 120 juta dompet untuk lebih daripada 2,000 pasukan pembangun, dengan memproses jumlah bulanan melebihi $9 bilion. Arkitektur di sebaliknya bergantung kepada dua teknologi pelengkap: AWS Nitro Enclaves, sejenis persekitaran pelaksanaan terpercaya (TEE), dan Shamir’s Secret Sharing (SSS), kaedah kriptografi untuk memecahkan kunci peribadi menjadi pecahan yang dipegang oleh pihak-pihak berasingan.
Bagaimana sistem sebenarnya berfungsi
Privy menggunakan Pembahagian Rahsia Shamir untuk memastikan tiada entiti tunggal yang pernah memegang kunci peribadi penuh semasa operasi biasa. Pecahan-pecahan tersebut diedarkan, dan hanya apabila pengguna perlu menandatangani transaksi, kepingan-kepingan itu bergabung sebentar di dalam enklaf selamat.
Enklaf itu adalah sistem AWS Nitro: persekitaran pengkomputeran yang dipisahkan, direka untuk benar-benar dipisahkan daripada infrastruktur awan lain, termasuk Amazon sendiri.
Masalahnya ialah langkah rekonstitusi, di mana kepingan kunci dipasang secara sementara untuk penandatanganan, mencipta satu jendela. Teknik yang dipanggil Prime+Probe membolehkan penyerang yang berkongsi mesin fizikal yang sama menyimpulkan apakah pengiraan yang berlaku di dalam persekitaran yang sepatutnya terpisah dengan memantau corak dalam cache pemproses. AWS Nitro direka khas untuk mencegah kelas serangan ini melalui pengasingan yang ketat, tetapi penyelidikan akademik terkini telah menguji had pengasingan itu dalam persekitaran awan secara umum. Tiada serangan end-to-end yang disahkan terhadap pelaksanaan khusus Privy yang telah didokumenkan secara awam.
Tanda audit yang penting
Audit keselamatan 2023 menandakan kemungkinan kerentanan dalam pustaka Shamir’s Secret Sharing Privy yang berkaitan dengan model ancaman tepat ini. Audit Cure53 mengenal pasti kelemahan yang boleh, di bawah keadaan tertentu, mengekspos sistem kepada eksploitasi saluran sisi cache. Privy kemudian menambahkan ciri keselamatan, termasuk integrasi pemindai transaksi Blockaid bermula Mac 2025.
Pendekatan Privy, TEE ditambah SSS, memerlukan rekonstruksi penuh kunci pada masa penandatanganan. Kelas penyelesaian yang berbeza, dipanggil komputasi pelbagai pihak (MPC), direka supaya kunci tidak pernah disusun sepenuhnya di mana-mana tempat, pada mana-mana masa. Penandatanganan berlaku melalui proses matematik teragih di mana setiap pihak menyumbang satu pecahan pengiraan tanpa pernah melihat kunci lengkap, dengan menghilangkan jendela rekonstitusi sepenuhnya.
Apa yang bermaksud ini untuk Stripe dan pasaran yang lebih luas
Pengambilalihan Stripe terhadap Privy pada Jun 2025 secara luas dianggap sebagai isyarat bahawa fintech tradisional serius terhadap infrastruktur kripto. Pangkalan pelanggan yang dilayan oleh Privy melalui produk yang terintegrasi dengan Stripe termasuk pengguna biasa yang mungkin mempunyai pemahaman minimum tentang apa itu kunci peribadi.
Privy bukan satu-satunya yang menggunakan pendekatan berdasarkan TEE. Banyak penyedia dompet pesaing bergantung pada arsitektur serupa. Jika ancaman saluran sisi cache berkembang dari teoretis menjadi praktikal, paparannya bersifat industri, bukan khusus perusahaan.


