هکر WazirX که بیش از 230 میلیون دلار (تقریباً 1900 کرور) از یک کیف پول چند امضایی به سرقت برده بود، موفق شد به امضای دیجیتالی مورد نیاز برای پردازش تراکنش دسترسی پیدا کند تا حمله هک را تسهیل کند. اما این امضاهای دیجیتال چیست؟ برخلاف خط خطی که ما عموماً امضا را تشخیص میدهیم، امضاهای دیجیتال الگوریتمهای امضای مجازی هستند. مانند امضاهای انسانی، این امضاهای دیجیتالی صحت هر فرمان مرتبط با تراکنش رمزنگاری را ثابت می کنند.
امضای دیجیتال چگونه کار می کند؟
یک ابزار ریاضی برای احراز هویت، امضای دیجیتال دارای جزئیات متعدد مربوط به هر تراکنش است. این جزئیات شامل اثبات مبدأ، زمان شروع، و وضعیت هر سند دیجیتالی است.
بر اساس رمزنگاری نامتقارن، یک امضای دیجیتال برای تأیید اطلاعات یا یک فرمان ایجاد میشود. برای ایجاد یک امضای دیجیتالی باید یک جفت کلید خصوصی و عمومی ایجاد شود. در حالی که از کلید خصوصی برای ایجاد امضا استفاده می شود، کلید عمومی برای تأیید امضا استفاده می شود.
به طور کلی، امضای دیجیتال به زیرساخت کلید عمومی (PKI) وابسته است. به منظور تولید کلید خصوصی و کلید عمومی با پیوند ریاضی، می توان از الگوریتم های کلید عمومی مانند Rivest-Shamir-Adleman استفاده کرد. همانطور که همه امضاهای انسانی منحصر به فرد هستند، این نرم افزارها نیز امضاهای دیجیتالی منحصر به فردی را تولید می کنند که متفاوت از سایر امضاهای تولید شده تاکنون هستند.
در ماه مارس سال جاری، وزیر ایکس وبلاگی را منتشر کرده بود که در آن جزئیات مهمی بودن این امضاهای دیجیتال در بخش بلاک چین را توضیح می داد. طبق صرافی هند، امضای دیجیتال امنیت و احراز هویت تراکنش ها را افزایش می دهد. صرافی همچنین گفت که امضای دیجیتال مهر زمانی دقیقی را ارائه میکند، نیاز به یک مرجع متمرکز را از بین میبرد و فرآیند تأیید را در زمان کارآمدتر میکند.
این وبلاگ میگوید: «اگر امضا کاملاً معتبر باشد، تأیید میکند که کاربر شروع کننده معامله، مالک واقعی دادهها است. پذیرش گسترده بلاک چین، در کنار استفاده مداوم از امضای دیجیتال، آیندهای را شکل میدهد که در آن تمرکززدایی، امنیت و شفافیت، پویایی تراکنشهای آنلاین را دوباره تعریف میکنند.
کاستی های پیاده سازی امضای دیجیتال
استقرار امضای دیجیتال در قراردادهای هوشمند یا برای تأیید تراکنشها میتواند فرآیند پرهزینهای را ایجاد کند، زیرا هم فرستنده و هم گیرنده مرتبط با تراکنش باید گواهیهای دیجیتال و نرمافزار تأیید را خریداری کنند.
در حالی که امضای دیجیتال می تواند به عنوان گزینه ای امن تر برای اجرای 2-FA برای تراکنش های رمزنگاری تلقی شود، آنها به وضوح یک اقدام امنیتی بی عیب و نقص در عرصه کریپتو نیستند.
در مورد وزیر ایکس، هکر از کیف پول چند سیگ وزیرX که تحت نظارت Liminal Custody نگهداری میشد، سوء استفاده کرد. این هکر که به شدت مشکوک بود از گروه بدنام لازاروس کره شمالی باشد، موفق شد به امضاهای مورد نیاز هر دو طرف برای تایید معامله دسترسی پیدا کند و حمله را تسهیل کرد.