ByBit. Radiant, WazirX. O mesmo problema: superfície de ataque massiva em carteiras de autocustódia multisig. Esses exploits continuam a acontecer porque os sistemas atuais dão aos atacantes área de ataque demais. Merecemos carteiras melhores que realmente protejam os usuários e os seus fundos.

@trailofbits lançou recentemente um artigo intitulado Armazenamento a frio mais seguro no Ethereum, que descreve como a próxima evolução das carteiras de armazenamento a frio pode utilizar controles de acesso baseados em funções e atrasos de tempo para manter os fundos seguros. Três pilares permitem a proteção contra riscos para manter os usuários seguros.

Pilar 1: Controle de Acesso Baseado em Funções permitindo que usuários específicos realizem ações com escopo restrito. Esses usuários podem realizar ações predefinidas pelo administrador da carteira. Exemplos de ações podem incluir fornecer e retirar de um mercado de empréstimos como @MorphoLabs

Pilar 2: Operações de timelock para todas as ações que não são baseadas em funções. Este timelock dá a um guardião ou proprietários de carteiras o tempo para pressionar o botão de pausa caso uma ação maliciosa esteja enfileirada no timelock. Os timelocks quebram a atomicidade e dão aos usuários uma segunda chance quando as coisas dão errado.

Pilar 3: Limitação de taxa nos montantes de transferência para acesso baseado em funções. Isso permite que a implementação da carteira permaneça genérica e imponha diferentes limites de taxa a diferentes usuários. Dessa forma, se um único usuário for comprometido, o raio de impacto é contido.

Além destes pilares, os guardiões podem ser usados para cancelar operações de bloqueio de tempo em fila. Idealmente, o bloqueio de tempo armazena calldata na cadeia para uma observação e visibilidade mais fáceis sobre o calldata da proposta. Isso torna a detecção de propostas maliciosas mais fácil.

Juntar tudo isso cria um sistema que pode resistir a muitos atores de ameaça diferentes. Estes pilares minimizam a superfície de ataque e os riscos ao quebrar a atomicidade presente na maioria das carteiras multisig. @kleidiwallet será lançado em breve, a primeira carteira com bloqueio temporal na eth.

@KleidiWallet DM para acesso antecipado, a lista de espera está a encher-se rapidamente!