Разработчик кошелька предлагает хакерам «награду» $430 тысяч в BTC

Zengo раскроет адрес кошелька, содержащий до 10 , а также раскроет два из трех факторов безопасности, использованных для его создания.

Zengo Wallet

Разработчик Zengo Wallet использует необычный подход к предложению вознаграждения за обнаружение ошибок. Вместо того, чтобы предлагать платить хакерам в белой шляпе за обнаружение уязвимостей, компания размещает 10 биткойнов (стоимостью более 430 000 долларов США по текущей цене) на счет, контролируемый разработчиком. Согласно объявлению от 7 января, любому хакеру, которому удастся украсть ы, будет разрешено сохранить их.

Награда будет предлагаться в течение 15 дней, начиная с 9 января и продолжаясь до утра 24 января. 9 января будет раскрыт адрес учетной записи и он будет содержать 1 BTC (приблизительно 43 000 долларов США). 14 января Zengo добавит на счет еще 4 BTC (172 000 долларов США) и предоставит один из «факторов безопасности», используемых для защиты учетной записи. 21 января команда добавит еще 5 BTC (215 000 долларов США), в результате чего общая сумма, хранящаяся в кошельке, составит 10 BTC (430 000 долларов США). В это время они также раскроют второй фактор безопасности. Всего кошелек использует три фактора безопасности.

После того, как будет выявлен второй фактор, у хакеров будет время до 16:00 UTC 24 января, чтобы взломать кошелек. Если кому-то удастся взломать кошелек за это время, ему будет разрешено оставить себе 10 BTC.

Zengo утверждает, что это кошелек «без уязвимости исходной фразы». Пользователям не предлагается копировать исходные слова при первом создании учетной записи, и в кошельке не сохраняется файл хранилища ключей.

Согласно официальному сайту, кошелек использует сеть многосторонних вычислений (MPC) для подписания транзакций. Вместо генерации закрытого ключа кошелек создает две отдельные «секретные папки». Первая доля хранится на мобильном устройстве пользователя, а вторая — в сети MPC.

Доля пользователя дополнительно поддерживается методом трехфакторной аутентификации (3FA). Чтобы восстановить свою долю, они должны иметь доступ к зашифрованному файлу резервной копии в своей учетной записи или , а также к адресу электронной почты, который они использовали для создания учетной записи кошелька. Кроме того, они должны пройти сканирование лица на своем мобильном устройстве, что является третьим криптографическим фактором для восстановления их доли.

По словам Zengo, также существует метод резервного копирования общего ресурса сети MPC. Команда утверждает, что предоставила «главный ключ дешифрования» сторонней юридической фирме. Если серверы сети MPC отключатся, этой юридической фирме было поручено опубликовать ключ дешифрования в репозитории . Приложение автоматически перейдет в «режим восстановления», если ключ будет опубликован, что позволит пользователю восстановить долю сети MPC, соответствующую его учетной записи. Как только пользователь получит обе общие папки, он сможет сгенерировать традиционный закрытый ключ и импортировать его в приложение-кошелек конкурента, что позволит ему восстановить свою учетную запись.

Директор по маркетингу Zengo Элад Бляйстейн выразил надежду, что вознаграждение в сети поможет стимулировать дискуссии о технологии MPC в криптосообществе. «Сложные термины, такие как MPC или TSS, могут быть чрезмерно абстрактными», — заявил Бляйстейн. «Конкурс Zengo Wallet Challenge подчеркнет преимущества безопасности кошельков MPC по сравнению с традиционными аппаратными альтернативами, и мы с нетерпением ждем оживленной дискуссии с теми, кто примет участие».

За последний год безопасность кошелька стала растущей проблемой в криптосообществе, поскольку взлом Wallet привел к убыткам пользователей криптовалюты на сумму более 100 миллионов долларов. Позже разработчик учредил программу вознаграждения за обнаружение ошибок, чтобы обеспечить безопасность приложения в будущем. Пользователи библиотеки кошельков Libbitcoin Explorer также сообщили о потерях в размере 900 000 долларов США от взломов в 2023 году.