加密货币的执行风险是新的托管风险

意见：Ido Sofer，Sodot 创始人兼首席执行官。

在纯粹的创新和功能方面，加密行业通常遥遥领先，但安全性是另一回事。

多年来，加密货币的托管风险被定义为一种恐惧：私钥被盗。业界的应对措施是使用冷库、气隙系统来强化存储， 多点控制 和其他方法。然后，它认识到仅保护密钥是不够的，因此引入了交易安全和策略来防止窃取资金的恶意交易，尽管密钥仍然安全。这两者仍然是严重的威胁，但仅仅关注私钥掩盖了更深层次的转变。

托管本身已经远远超出了私钥的范围。

“托管”曾经意味着保护私钥。该定义不再反映现实。托管已发展成为一个复杂的自动化系统，跨多个场所、托管人、供应商和内部系统运行不同类型的交易。现代贸易公司跨交易所、质押平台、流动性场所和基础设施提供商运营，每个公司都拥有可以直接或间接转移资本的 API 密钥、验证器密钥、部署凭证和系统级秘密。

其中许多凭据存储在秘密管理器中，根据设计，这些管理器会将完整密钥返回给任何经过身份验证的进程。是的，方便，但结构脆弱。如果执行环境受到外部攻击者、受到威胁的员工或恶意依赖项的破坏，则完整密钥就会受到破坏。托管风险已从休眠的链上密钥扩展到实时执行层，其中资本以毫秒为单位移动，风险暴露实时发生。

托管安全的演变

托管安全是分阶段发展的。首先，业界保护存储中的私钥。然后，它超越了存储、嵌入策略和多方控制来管理这些密钥在执行中的使用方式。下一步是不可避免的：对每个密钥和凭证应用相同的零暴露和政策驱动的纪律。在现代加密操作中，API 密钥、部署凭证和执行机密都存在重大风险。将私钥最佳实践扩展到更广泛的领域不再是可选的；这是执行风险的决定性挑战。

近年来，执行风险已成为大规模漏洞利用的最大单一载体。网络犯罪分子正在绕过链上安全机制，转而利用软肋，即 API 密钥、服务器凭证和其他促进交易、代码部署、质押和托管操作所需的链外秘密。最近的重大违规行为，包括 拜比特黑客，首先是链下黑客攻击和凭证泄露，后来导致链上资金损失。

执行风险有多大？

它很大而且有结构。资产管理公司、交易公司、托管机构和支付公司同时连接到数十个 CEX、DEX、流动性提供商和其他供应商。每个集成都会引入自己的凭据、访问控制和操作依赖性。管理这些内容涉及开发、运营、交易、风险和安全团队，这会随着时间的推移而变得更加复杂。

确保这些行动的安全是一场永无休止的斗争。维护一致的安全策略和多供应商访问是一件令人头疼的事情，这主要是手动的，导致不可避免的安全漏洞和配置漂移。

有关的： 比特币是基础设施，而不是数字黄金

执行风险并不是自动化所固有的。它是交易系统历史设计方式的副产品。在许多中心化交易环境中，API 密钥和操作凭证直接放置在交易基础设施内，以消除延迟。对于做市商和交易公司来说，速度不是特征，而是商业模式。即使是边际延迟也会影响收入。

随着时间的推移，实时系统内的全密钥可用性已成为实现高性能执行的最简单方法。凭证始终处于就绪状态，因此可以立即授权交易。问题不在于资本流动迅速。而是单方面的权威嵌入到运营基础设施中。当权力集中于执行时，它就成为最可预测的攻击媒介。

现有控制措施不足

考虑到现代执行环境的复杂性，现有工具远远不能满足需要。

虽然加密货币交易所、托管机构和场外交易柜台确实针对特定操作采用了强大的安全策略，但对他们来说，在如此分散的生态系统中同步这些控制措施是非常困难的。事实上，无论时间长短，在四十多个交易所之间保持一致的治理几乎是不可能的。由于它是在孤岛中手动完成的，因此错误是不可避免的，一个错误就可能使数百万美元的价值面临风险。

还需要考虑交易对手风险。交易所和托管机构可能存在自身的漏洞，包括错误、基础设施配置错误和政策执行机制不一致。如果一家贸易公司的内部安全代码需要地理围栏，但它所连接的其中一个交易所在该控制的实施中存在错误，则会在执行时产生风险。

风险难以承受

业界从私钥安全中吸取的教训是明确的：消除完整的密钥暴露并围绕使用实施严格的策略控制。这些原则现在必须扩展到链上私钥之外，扩展到每一个能够授权价值流动的凭证。

解决方案不仅仅是更好的秘密存储。秘密管理器是为了方便而建立的；他们将完整密钥返回给任何经过身份验证的进程。在实时执行环境中，该模型在资本运转的那一刻将权限分配给系统的多个组件。

我们需要的是零密钥暴露架构系统，其中没有任何一台机器或员工拥有单方面控制权，并结合可强制执行的上下文感知策略来管理凭证的使用方式。多方计算 (MPC) 是实现该模型的一种方法，但原理更广泛——将私钥安全最佳实践扩展到整个加密执行层。

意见：Ido Sofer，Sodot 创始人兼首席执行官。