Author

Topic: Bitwise está armazenando os fundos do seu ETF em uma carteira sem multisig (Read 160 times)

legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
Aqui no Brasil teríamos inúmeros "especialistas" capacitados para abrir esses cofres sem ter a chave em mãos  Grin, brincadeiras a parte, mas a solução citada pelo Ninja parece realmente mais adequada. Eu também espero que todas as empresas tenham técnicos capacitados, mas na prática, geralmente algumas falhas graves acabam aparecendo.

Sem duvida.

Alguns anos atras, a maior empresa de comunicações de Portugal, colocou centenas de sites offline, por um erro bem simples.
Um servidor avariou, e entrou em funcionamento o servidor backup. Até aqui tudo bem. Problema, foi quando o técnico chegou para recolher o equipamento avariado, acabou por levar o que estava a funcionar. Resultado, varias horas com vários sites importantes offline. Imagina os prejuízos. Roll Eyes
legendary
Activity: 2492
Merit: 1429
Payment Gateway Allows Recurring Payments
Simples. O hardware wallet estar num cofre de 3 chaves, distribuídas por 3 pessoas. Para poder ter acesso, precisam de ser as três pessoas a dar esse acesso. Se quiseres aumentar o nível de complexidade, cada pessoa tem de ter a chave num segundo cofre, sendo aberto apenas com 2 chaves de outras duas pessoas. No final, para ter acesso a wallet são precisas 9 pessoas.

Enfim, um pouco velha guarda, e claro que é pura especulação, mas possível.

Qualquer das formas, estas empresas normalmente estão rodeados por bons técnicos de segurança informática. Nunca fiando, mas certamente agiram de uma forma segura, para gerir estes fundos.

Aqui no Brasil teríamos inúmeros "especialistas" capacitados para abrir esses cofres sem ter a chave em mãos  Grin, brincadeiras a parte, mas a solução citada pelo Ninja parece realmente mais adequada. Eu também espero que todas as empresas tenham técnicos capacitados, mas na prática, geralmente algumas falhas graves acabam aparecendo.
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
Mas Joker, o que você está pensando com ''basta guardar a seed num local, onde é preciso 3 ou 4 pessoas autorizarem acesso'' ? Isso não seria EXATAMENTE para o que a multisig foi pensada? Não entendi seu ponto de vista aqui.
Se estiver em UM LUGAR, continua sendo um risco grande.

Simples. O hardware wallet estar num cofre de 3 chaves, distribuídas por 3 pessoas. Para poder ter acesso, precisam de ser as três pessoas a dar esse acesso. Se quiseres aumentar o nível de complexidade, cada pessoa tem de ter a chave num segundo cofre, sendo aberto apenas com 2 chaves de outras duas pessoas. No final, para ter acesso a wallet são precisas 9 pessoas.

Enfim, um pouco velha guarda, e claro que é pura especulação, mas possível.

Qualquer das formas, estas empresas normalmente estão rodeados por bons técnicos de segurança informática. Nunca fiando, mas certamente agiram de uma forma segura, para gerir estes fundos.
legendary
Activity: 2758
Merit: 6830
Mas, o que o facto de não ser multisig (se realmente não for) retira segurança do ETF? Julgo que não. Pelo menos não tenho essa ideia.
Basta guardar a seed num local, onde é preciso 3 ou 4 pessoas autorizarem o acesso.

Por sua vez, a longo prazo eles não deverão querer vender, apenas querem que entre fundos sem sair. Então, desde que a seed esteja realmente bem guardada, não deve haver grandes problemas.
A questão é que alguem tem que pegar a seed e colocar no dispositivo de assinatura, e com essa única seed teria como fazer o que quiser. Usando multisig cada individuo precisa assinar sua parte da transação, você assina com a sua key e eu com a minha. Para dar problema ambos teriamos que cair nas garras de hackers, sequestradores, etc.
legendary
Activity: 1428
Merit: 1568
Mas, o que o facto de não ser multisig (se realmente não for) retira segurança do ETF? Julgo que não. Pelo menos não tenho essa ideia.
Basta guardar a seed num local, onde é preciso 3 ou 4 pessoas autorizarem o acesso.

Por sua vez, a longo prazo eles não deverão querer vender, apenas querem que entre fundos sem sair. Então, desde que a seed esteja realmente bem guardada, não deve haver grandes problemas.

Mas Joker, o que você está pensando com ''basta guardar a seed num local, onde é preciso 3 ou 4 pessoas autorizarem acesso'' ? Isso não seria EXATAMENTE para o que a multisig foi pensada? Não entendi seu ponto de vista aqui.
Se estiver em UM LUGAR, continua sendo um risco grande.


Começar com 1 não significa necessariamente que o endereço tem uma única private-key guardada no cofre de alguem.

Por exemplo, o que muitas empresas de custodia tem feito hoje em dia é utilizar a tecnologia MPC para gerar os endereços.

O que é MPC e por que é diferente do sistema de custódia das carteiras físicas de criptomoedas

Quote
Já no MPC (do Inglês “Multiparty Computing”), cada chave privada é constituída de diversos pedaços chamados “Key Shares” que são armazenados de forma distribuída e independente em diversos servidores, e nunca entram em contato entre eles. A assinatura de uma transação é feita através da geração de assinaturas parciais com cada ‘key share’, com isso a tecnologia MPC, utilizam um algoritmo de criptografia para validar e combinar as assinaturas parciais para a geração da assinatura final.

Quote
Separação de key shares: Os ‘key shares’ que constituem uma chave privada nunca entram em contato, até mesmo durante a criação da chave privada. Por isso, a chave permanece sempre segura, mesmo que um dos servidores as guarda seja comprometido;

Quote
Múltiplas aprovações sem necessidade de multisig: Como mencionado acima, a governança é um fator extremamente importante na custódia institucional. Com MPC, usuários diferentes podem controlar key shares, de forma que um determinado número de usuários deve colaborar para assinar uma transação, sem a necessidade do protocolo ou da blockchain suportar multisig.

Caramba! Nunca tinha ouvido falar desse MPC - bem melhor que os NPS rs rs- realmente uma solução bem interessante.

Se eu entendi, cada ''servidor'' teria ''um pedaço'' de uma chave privada. E quando uma transação precisa ser assinada e autorizada, é necessário que diversos servidores ''provem'' ter seus pedaços.
No caso da multisig, estamos falando de diversas chaves. Fui procurar pra entender na prática os beneficios do MPC em relação as multisigs, achei um artigo interessante:https://www.coingecko.com/learn/mpc-wallet-vs-multi-sig-wallets

um dos pontos citados é que com o MPC você pode mudar o ''quorum'', enquanto que com a mulsig ele é definido no momento de criação da wallet. Isso é bem interessante porque os ''donos'' das carteiras, se tratando de uma instituição grande, realmente podem mudar. Imagina se quando sai um C-LEVEL, os caras precisassem mover os fundos.

legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
Mas, o que o facto de não ser multisig (se realmente não for) retira segurança do ETF? Julgo que não. Pelo menos não tenho essa ideia.
Basta guardar a seed num local, onde é preciso 3 ou 4 pessoas autorizarem o acesso.

Por sua vez, a longo prazo eles não deverão querer vender, apenas querem que entre fundos sem sair. Então, desde que a seed esteja realmente bem guardada, não deve haver grandes problemas.
legendary
Activity: 2688
Merit: 2297
Seria que é meio bilhão que ele quis dizer?

Isso, meio bilhão.. parece ser mais exato eles estão com US$ 586.528.458,80 (13.576 BTC)

Pode acompanhar o portfólio da Bitwise no site da Arkham: https://platform.arkhamintelligence.com/explorer/address/1CKVszDdUp4ymGceAZpGzYEFr4RPNHYqaM

Até agora não tiveram nenhuma transação de saída, tomara que continue assim.
legendary
Activity: 2352
Merit: 6089
bitcoindata.science
A Bitwise foi o primeiro ETF a revelar o endereço que armazena os seus BTC's mas um fato chamou atenção, se trata de um endereço legacy sem multi-assinatura. Encontrei esse trecho na reportagem da livecoins onde o Edilson Osório avaliou a situação:

Quote
“Olha quanto de dinheiro tem nessa wallet, meio milhão de dólares”, comentou Edilson. “Os caras estão utilizando um endereço legacy que a chave privada está guardada na mão de alguém.”



Gente , meio milhão de dólares são 11 btc.
Tem gente aqui no fórum q tem muito mais que isso.

Não deve nem estar certo isso. Seria que é meio bilhão que ele quis dizer?

E pode também estar num cofre dum banco onde guardam coisas até mais valiosas do que isso...
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
Bem possivel que se não existem seguradoras nessa área alguma surja
Só me pergunto se o seguro valeria a pena porque provavelmente seria bem custoso.

Além do que mencionaram daria pra seed ter sido criada por shamir e ter algum sistema de segurança mais elaborado do que “uma pessoa em casa fazendo a custódia das chaves”, não?
hero member
Activity: 1316
Merit: 407
Top Crypto Casino
A Bitwise foi o primeiro ETF a revelar o endereço que armazena os seus BTC's mas um fato chamou atenção, se trata de um endereço legacy sem multi-assinatura. Encontrei esse trecho na reportagem da livecoins onde o Edilson Osório avaliou a situação:

Quote
“Olha quanto de dinheiro tem nessa wallet, meio milhão de dólares”, comentou Edilson. “Os caras estão utilizando um endereço legacy que a chave privada está guardada na mão de alguém.”

“É uma wallet que está na mão de alguém, essa chave privada ta rodando, é um alvo muito grande. Você acha que os caras já não estão de olho, fazendo engenharia social para descobrir quem é o gestor da wallet da Bitwise?”

Seguindo sua explicação, Edilson nota que essa chave privada poderia ser perdida, ou então acontecer algo pior, como um ataque ao responsável por essa carteira.

Será que no futuro vamos ter um desses grandes ETF's sendo hackeados e perdendo os fundos dos clientes?

Segue o link para a matéria completa que está bem interessante, tambem fala sobre as doações que o endereço já recebeu de endereços relacionados a CoinJoin: Gestora de ETF recebe doações misteriosas de Bitcoin e diz que quantia vai para investidores




Eu não duvido de nada quando o assunto é o mercado tradicional, em breve deve sair a noticia de carteira roubada ou extorsão. Alguém precisa falar pra eles que sem a chave não consegue recuperar. Alias, será que daria certo criar um seguro pra esse tipo de roubo?
legendary
Activity: 2758
Merit: 6830
Começar com 1 não significa necessariamente que o endereço tem uma única private-key guardada no cofre de alguem.

Por exemplo, o que muitas empresas de custodia tem feito hoje em dia é utilizar a tecnologia MPC para gerar os endereços.

O que é MPC e por que é diferente do sistema de custódia das carteiras físicas de criptomoedas

Quote
Já no MPC (do Inglês “Multiparty Computing”), cada chave privada é constituída de diversos pedaços chamados “Key Shares” que são armazenados de forma distribuída e independente em diversos servidores, e nunca entram em contato entre eles. A assinatura de uma transação é feita através da geração de assinaturas parciais com cada ‘key share’, com isso a tecnologia MPC, utilizam um algoritmo de criptografia para validar e combinar as assinaturas parciais para a geração da assinatura final.

Quote
Separação de key shares: Os ‘key shares’ que constituem uma chave privada nunca entram em contato, até mesmo durante a criação da chave privada. Por isso, a chave permanece sempre segura, mesmo que um dos servidores as guarda seja comprometido;

Quote
Múltiplas aprovações sem necessidade de multisig: Como mencionado acima, a governança é um fator extremamente importante na custódia institucional. Com MPC, usuários diferentes podem controlar key shares, de forma que um determinado número de usuários deve colaborar para assinar uma transação, sem a necessidade do protocolo ou da blockchain suportar multisig.
legendary
Activity: 2688
Merit: 2297
Estava olhando as carteiras da Grayscale aqui.. também começam com 1 (legacy).. Fidelity parece ser multsig (começa com 3)..

No vídeo o Edilson também fala que a Bitwise pode estar usando um backup Shamir, que seria como um multisig.. aqui tem um vídeo curto sobre: https://youtu.be/cRh-NCvHkzM

Imagino que estejam usando essa solução, os caras não são bobos.. mas eu não queria ser um dos caras responsável por esse backup Cheesy realmente é um alvo muito grande na cabeça.
legendary
Activity: 2492
Merit: 1429
Payment Gateway Allows Recurring Payments
A Bitwise foi o primeiro ETF a revelar o endereço que armazena os seus BTC's mas um fato chamou atenção, se trata de um endereço legacy sem multi-assinatura. Encontrei esse trecho na reportagem da livecoins onde o Edilson Osório avaliou a situação:

Quote
“Olha quanto de dinheiro tem nessa wallet, meio milhão de dólares”, comentou Edilson. “Os caras estão utilizando um endereço legacy que a chave privada está guardada na mão de alguém.”

“É uma wallet que está na mão de alguém, essa chave privada ta rodando, é um alvo muito grande. Você acha que os caras já não estão de olho, fazendo engenharia social para descobrir quem é o gestor da wallet da Bitwise?”

Seguindo sua explicação, Edilson nota que essa chave privada poderia ser perdida, ou então acontecer algo pior, como um ataque ao responsável por essa carteira.

Será que no futuro vamos ter um desses grandes ETF's sendo hackeados e perdendo os fundos dos clientes?

Segue o link para a matéria completa que está bem interessante, tambem fala sobre as doações que o endereço já recebeu de endereços relacionados a CoinJoin: Gestora de ETF recebe doações misteriosas de Bitcoin e diz que quantia vai para investidores

Jump to: