介绍
在处理数字资产时,一个主要风险是由于人为错误、恶意黑客攻击或内部人员盗窃而导致资金损失。为了解决这些问题,Fireblocks 诞生了,并配备了多层安全系统,以增强安全性并降低与数字资产相关的风险。
什么是 Fireblocks?
来源:Official website
Fireblocks 是一个专注于数字资产安全、去中心化产品开发以及用户资产管理的平台。它结合了创新技术,如 MPC(多方计算)密码学和硬件隔离,以防止内部欺诈、网络攻击和人为错误。
该平台通过数字资产托管实现安全性,这是一种特殊的自托管方式,具有多个安全层,并且不会涉及对手方风险。此外,它还能实现高性能。其直接托管模式基于五个核心原则:
- 消除对手方风险
- 防止内部和外部攻击
- 确保业务运营的持续性
- 提供对所有交易的严格控制和可见性
- 提供用户友好、高性能的产品和服务
Fireblocks 的历史
来源:Official website
Fireblocks 由 Micheal Shaulov, Pavel Berengoltz, and Idan Ofrat共同创立。三人在 2017 年臭名昭著的 Lazarus Group 黑客攻击韩国四家交易所后,被任命为调查组成员。在调查过程中,他们发现网络犯罪分子已从传统金融系统转向攻击数字资产。此外,他们还意识到,市场上缺乏有效的解决方案来保护数字资产安全。
在涉足区块链行业之前,这三位创始人在网络安全领域积累了超过 20 年的经验,并将其专业知识应用于移动和关键基础设施安全领域。最终,他们共同创立了 Fireblocks,并利用创新的 MPC 技术保护数字资产免受盗窃。
Fireblocks 的工作原理
来源:Official website
为了促进数字资产安全,Fireblocks 建立了一个由四个主要层级组成的多层安全系统,包括 MPC-CMP 层、安全隔离区(Secure Enclaves)层、策略引擎(Policy Engine)和 Fireblocks 网络。该平台旨在提供先进的软件和硬件防御,以应对不同的黑客攻击策略。
该平台建立了一个安全环境,用于存储、转移和发行数字资产。它的设计目的是保护这些资产免受各种网络威胁、人为错误和潜在的内部勾结。
Fireblocks 提供的第一层安全防护是 MPC-CMP,它采用了一种名为 MPC(多方计算,Multi-party Computation)的加密技术。MPC 是一种数字技术,它将隐藏信息的碎片存储在所有相关方中,并要求所有方的去中心化私密输入来解决问题。
该平台使用 MPC 技术的原因在于其兼容性强,无需进行修改。此外,它具有灵活性,并且成本效益高,因为签名过程是在链下完成的。
Fireblocks 通过 MPC-CMP 层利用这一技术,增强了 ECDSA 和 EdDSA 签名,这两种签名广泛用于各个区块链中。这种方法创造了一个全新的私钥安全级别,确保私钥从未被集中存储,从而有效阻止黑客访问用户资产。
MPC-CMP 层不仅增强了安全性,还加快了交易速度。据称,它比传统的多方计算(MPC)快八倍,因为所需的交易轮数减少了。这一层与冷钱包存储兼容,其中密钥共享部分保持离线,从而最大限度地减少了潜在的网络威胁暴露风险。
此外,该平台通过在多个一线云环境中分布加密 MPC 共享数据,进一步引入了一层安全保护。即使某个物理数据中心遭到破坏,也能降低泄露风险。
第二层是安全隔离区(Secure Enclave),它是通过 Intel SGX 实现的。Intel SGX 是一个硬件级的隔离区,旨在保护系统内的特定代码和数据。其主要职责是保护底层基础设施和加密算法,包括 MPC 和零知识证明(ZKPs),同时防止恶意内部人员和黑客访问软件的敏感组件。
由于 MPC 密钥共享部分存储在 SGX 内,因此即使恶意方控制了服务器,也无法访问这些密钥。这是因为 SGX 隔离区内的内存空间和存储的数据都是加密的。
第三层安全防护是策略引擎(Policy Engine)。该引擎允许用户创建特定规则,以决定交易的批准和执行方式。例如,一条规则可以决定某笔交易是否被阻止或批准。它还可以决定是否需要额外的签名人,并可以应用来源、目的地、资产和金额等筛选条件。
策略引擎同样受到 SGX 保护,而 Fireblocks 平台将策略验证过程分布在多个 MPC 服务器上。由管理员团队签署的策略规则被加密存储在 SGX 内。完成这一过程后,策略引擎被集成到 SGX 隔离区内,从而保护其免受黑客和员工的篡改,确保所实施规则的完整性以及策略引擎的逻辑安全。
该平台的最后一层是 Fireblocks 网络(Fireblocks Network),它允许用户安全地转移资产,消除了共享存款地址带来的风险。该网络采用自动存款地址认证与轮换机制,避免了手动复制和粘贴存款地址的需求,并通过测试转账和白名单程序进行地址认证。
该网络对系统至关重要,因为它可以防止因存款欺诈或人为错误(例如,将资产存入一个用户已不再使用的交易地址)而导致的资产损失。
Fireblocks 的功能
Fireblocks 除了提供多层安全保护,还具备多个核心功能,以提升用户体验:
热钱包、温钱包、冷钱包(MPC-CMP Wallets)
Fireblocks 提供三种类型的钱包:热钱包、冷钱包和温钱包。这些钱包的区别在于第三个 MPC 共享密钥的存放位置以及交易审批的流程。在热钱包的情况下,第三个 MPC 密钥由 API 协同签名人管理,从而实现自动交易审批。
对于冷钱包,第三个 MPC 密钥共享部分存储在用户的离线设备上,交易审批需要在双方设备上扫描二维码完成。至于温钱包,第三个 MPC 密钥共享部分存储在在线设备上,交易审批则通过 Fireblocks 移动应用完成。
操作区
Fireblocks 提供了一项独特的功能,称为工作区(Workspace),使用户能够管理多个账户和数字资产,并跟踪其交易情况。每个工作区都运行在独立的 BIP32-HD 钱包结构上,并具有独特的安全措施和交易策略。
Fireblocks 提供三种类型的工作区,每种工作区都有独特的功能,对用户在平台上的操作范围起着重要作用:
- 主网工作区(Mainnet Workspace):
该工作区允许用户在 Fireblocks 平台上进行真实的金融操作。用户可以安全地转移数字资产、添加其他用户、创建一个或多个金库账户、白名单新地址、连接支持的交易所、与其他 Fireblocks 网络成员建立连接,以及配置 MPC-CMP 设备。
- 测试网工作区(Testnet Workspace):
该工作区用于测试用户的测试网资产,以进行集成和试验。它允许用户执行与主网工作区相同的操作,但不涉及真实交易费用。由于是测试网,其功能不像主网那样完整,以防用户损失现实世界的资产。
- 开发者沙盒(Developer Sandbox):
该工作区专门面向开发者,允许开发人员注册并进行开发和实验。开发者可以利用此环境创建 API,并通过自动生成 CSR 证书在浏览器中创建私钥。
角色权限控制
Fireblocks 提供不同角色拥有不同的访问控制功能,根据用户的角色授予不同的权限。不同角色的用户可访问平台的不同部分,并可执行特定操作。此外,用户持有的 MPC 密钥共享部分也取决于其角色,以便在交易时进行签名。
管理员法定人数
Fireblocks 管理员法定人数(Admin Quorum)指的是批准某些工作区决策所需的最少管理员人数。这些管理员可以决定批准网络连接、添加新用户或移除恶意用户,以及添加白名单地址。
通过管理员投票机制,该平台可以防止用户资产因恶意管理员的行为而遭受损失,避免资金被盗或被转移。
账户
Fireblocks 提供三种类型的账户:
- 资产账户(Vault Account):
资产账户是一个独特的链上钱包,允许用户安全存储和转移数字资产。该账户受 Fireblocks MPC-CMP 体系架构保护,确保用户的私钥安全。
- 交易所账户(Exchange Account):
交易所账户允许用户利用交易所的 API 凭证,在交易所之间或 Fireblocks 账户之间安全地转移资产。
- 法币账户(Fiat Account):
法币账户使用户能够在 Fireblocks 工作区内以及支持该法币的其他网络连接之间转移法定货币。
资产存储库
Fireblocks 资产存储库是该平台用于管理钱包和地址的解决方案。用户可以轻松创建和管理多个资产存储库账户,每个资产存储库账户都包含不同的资产钱包。
资产钱包
资产钱包是一种专门用于管理内部存款的钱包,可用于不同类型的资产。每个资产钱包至少包含一个与其资产类型对应的存款地址。该服务支持 1,200 多种不同的资产。
交易授权策略 (TAP)
交易授权策略(TAP)是一套规则框架,用于定义用户在 Fireblocks 工作区内进行交易的边界。借助 TAP,用户可以管理交易的多个方面,包括:谁有权限执行交易、单次交易的最大转账金额、允许交易的时间范围,以及每笔交易的授权方式。
此外,这些规则还可应用于涉及智能合约的交易,例如部署、升级或执行持续运行的操作。
Fireblocks 的主要功能与应用场景
Fireblocks 具备多项强大功能,确保为用户和开发者提供优质服务。利用这些功能,开发者可以构建不同的平台,满足用户需求。Fireblocks 可用于以下应用场景:
托管钱包解决方案(Wallet-as-a-Service)
借助 Wallet-as-a-Service,开发者可以轻松创建并集成定制化的安全钱包至其应用中。这种基于 API 的解决方案提供强大的 MPC 钱包,使开发者能够高效创建、管理和保护无数用户的钱包,而无需自行开发安全基础设施。
自托管基础设施(Self-Custody Infrastructure)
Fireblocks 的自托管基础设施提供了一种安全、可靠的数字资产存储方式。其配备了多层安全机制、灵活的 API、MPC 技术以及 Intel SGX,确保用户资金既安全又随时可用。
代币化(Tokenization)
Fireblocks 使资产代币化变得更加安全和便捷。它提供了一种安全的数字化资产方式,并支持区块链应用的开发。平台的 API 具备先进功能,可执行创建、管理、赎回和发行代币(如稳定币或证券型代币)等任务。
开发者可利用代币化功能将任何资产进行代币化,铸造新代币,管理智能合约,执行智能合约功能,安全托管代币等。
资金管理(Treasury Management)
Fireblocks 的资金管理功能允许用户将资金安全存储于冷热钱包,连接交易所,管理资金操作,并与交易对手方建立连接。它使用户能够在多个钱包之间完全掌控其资产,优化交易风险管理和流动性管理。
借助 Fireblocks Treasury,开发者可以安全转移资产、轻松调配资金、设定治理规则,并保障资金运营的安全性。
总结
Fireblocks 通过创新技术(如 MPC、多层安全封装、策略引擎和 Fireblocks 网络)为用户提供更高级别的数字资产安全保护。这些安全层极大地提高了平台安全性,有效防止黑客攻击、盗窃和人为错误导致的资产损失。此外,Fireblocks 提供了广泛的开发和用户服务,使其成为去中心化平台的重要工具