见
昨晚Fox.ONE在网站上发布公告,关于《Fox.ONE、Exin 关于联合节点 SS 丢失私钥事件的联合声明》,由于SS节点团队没有妥善保管私钥,导致10000XIN和3月21日以后节点的收益无法取出,截图如下:
事件截图
10000个XIN可不是小数目,从非小号查询到即使现在XIN的价格有所下跌,XIN单价也在1200元,10000个XIN至少价值1000万了!
XIN价格
那你一定很奇怪这10000个XIN是如何丢失的呢,在此笔者把公告上说的事情经过简单概括一下:
去年7月份,SS团队、Exin团队、Fox.ONE团队联合组成了Mixin上的一个联合节点,一直运营正常。在3月21日凌晨SS节点删除了包含多签私钥的签名服务器(服务器是存放于谷歌云Google Cloud),由于没有做好私钥的保管,导致联合节点抵押的XIN无法找回,总计10000个XIN,这里面既有三个团队的资产,也有部分用户抵押的资产。
后来联系了谷歌,也没有办法恢复云端服务器上硬盘的数据。现在SS节点愿意承担相关的责任。
详情还请参见网站的原始链接:https://fox.zendesk.com/hc/zh-cn/articles/360041568651
感
笔者看到这件事情的第一感受,就是感觉币圈近期真是命运多舛。
前有Fcoin跑路,中有全球经济动荡引发比特币暴跌(所谓的减半行情真的是市值减半了),现在又出现了Mixin相关节点丢失XIN的事件,我一是为此次事件中受到牵连的Fox.ONE和Exin团队痛心,二是心疼为这些团队抵押投票的散户小伙伴,真的是无辜躺枪,本来想抵押XIN获得一点利息,没有想到本金都受到了影响。
后续我会持续关注这件事情的发展。
思
事情既然已经发生,还是静下心来,想想这件事情有哪些地方做的不妥,如果有再来一次的机会,看看能有哪些方式改进?
1. 私钥没有妥善保管和备份
这是发生本次事故的最直接原因。在长达半年多的时间里,SS节点都没有把私钥妥善的备份,并且没有第二个人核查这件事情,导致一旦发生状况,事情就变得很严重。
这就类似咱们经常看到的火灾隐患,不发生事情还好,一旦发生就是大事!
2. 出问题后应第一时间请Google协助处理
通过公告内容得知,3月21日凌晨SS节点技术负责人发生删除签名服务器事情,中间经过处理没有结果。
3月26日Fox.ONE 团队联系谷歌高层,尝试恢复被删除的云数据,但没有成功。根据 Google 工程师的描述,数据删除后时间拖延越长,恢复数据的可能性越低,所以隐瞒事故进一步降低了恢复私钥的可能性。
类似抢险救灾时错过了最初的黄金72小时。
3. 关于多重签名
事情发生后,很多小伙伴很困惑,为什么SS节点的多重签名的私钥丢失,会导致相关数字资产无法找回?毕竟另外两方Fox.ONE和Exin的多重签名私钥还是完好无缺的。
其实笔者自己也很困惑这个问题,在此做一个简单的推测。
众所周知,针对数字资产,如果丢失了私钥,那就没有任何办法可以花费对应地址的资金。这样就使得因为丢失私钥导致资金丢失的风险会很高。
为了避免一个私钥的丢失导致地址的资金丢失,比特币等数字货币引入了多重签名机制,可以实现分散风险的功能。
具体来说,就是假设N个人分别持有N个私钥,只要其中M个人同意签名就可以动用某个“联合地址”的资金。
最常见的多重签名是2-3类型。例如,一个提供在线钱包的服务,为了防止服务商盗取用户的资金,可以使用2-3类型的多重签名地址,服务商持有1个私钥,用户持有两个私钥,一个作为常规使用,一个作为应急使用。这样,正常情况下,用户只需使用常规私钥即可配合服务商完成正常交易,服务商因为只持有1个私钥,因此无法盗取用户资金。如果服务商倒闭或者被黑客攻击,用户可使用自己掌握的两个私钥转移资金。
因此利用多重签名,可以带来两点好处:
①使得私钥丢失的风险被分散到N个人手中,降低了单个私钥丢失的风险
②多重签名可以实现N个人持有私钥,其中M个人同意即可花费资金的功能,因此避免了少数人窃取资金的问题
回到本次事件,如果多重签名设置的规则是:3个人持有私钥,其中2个人同意即可花费资金,那么就不应该出现本次的严重后果,所以笔者推测在本次事件中,多重签名的设置的规则是:3个人持有私钥,必须3个人都同意才可以花费资金。
其实这也可以理解,假设有A、B、C三个人,想合伙做生意,他们共同凑钱集齐了启动资金,如果其中两个人同意就可以动用启动资金,第三个人心里一定会有些顾忌,万一另外两个人串通合伙坑我怎么办,因此商定必须三个人都同意,才可以支配启动资金。
我推测这就是联合节点成立时所面对的情况,虽然3-3这种多签方式避免了资金被人私自挪动的风险,但保管私钥的风险却凭空增大了两倍!
凡事真是有利有弊。
行
通过这件事情,笔者深刻的感受到混币圈真是不容易,到处都是坑,因此也理解了为什么那么多大佬要选择自己保管私钥,而不选择把资产放置在中心化交易所。
当然自己保管也不是万无一失,也一定要做好各种备份,否则丢失了就真的丢失了。
因此强烈建议各位小伙伴,等空闲的时候,不妨问自己两个问题:
①如果币圈的资产丢失了,自己可以承担对应的损失吗?
②如果不能,那应该选择什么样的方式来保管自己的数字资产呢?
版权声明:项目均采集于互联网, 空投币 无法审核全面,且希望大家能赚钱,请谨慎切勿上当受骗!
温馨提示:★★★天上真会掉馅饼!天道酬勤,都是机会!不错过每个空投糖果!真假难以辨认,尽量0撸!