Ich habe einmal drei Backup-Laufwerke für meine Fotos eingerichtet, für den Fall, dass eins ausfällt. Alle drei habe ich im selben Schubfach aufbewahrt. Zwei Jahre später ist hinter dieser Wand ein Rohr geplatzt, und ich habe alle drei auf einmal verloren.

Redundanz, die nicht wirklich getrennt ist, ist keine Redundanz — es ist dasselbe Risiko, nur als Kostüm. Ein System, das drei Freigaben aus fünf verlangt, soll bedeuten, dass kein einzelner Ausfall es lahmlegen kann. Aber wenn diese Freigebenden im selben Schubfach sitzen, führt ein einziger Ausfall dazu, dass alles auf einmal betroffen ist. Ich nannte das das Quorum für einen Raum: Die Mathematik sagt verteilt, die Realität sagt eine Wand entfernt von allem.

Im Juni konnte ein Angreifer einen einzelnen Mitarbeiterlaptop bei Humanity Protocol kompromittieren und fand dort genügend gesicherte Schlüssel, um die Freigabe-Schwelle auf zwei Blockchains zu überschreiten — drei von sechs auf Ethereum, drei von fünf auf BNB Chain. Beide Multisigs waren so entworfen, dass keine einzelne Maschine so viel Autorität halten kann. Nach einer einzigen Malware-Infektion brachte der Angreifer ein bösartiges Upgrade durch, zog ungefähr 141 Millionen Tokens ab und prägte Hunderte Millionen weitere. Der Token verlor innerhalb von 12 Stunden 80–90 % seines Werts. Das Multisig funktionierte genau so, wie es programmiert war. Jeder Schlüssel befand sich nur zufällig im selben Raum.

Newtons Ansatz für das Risiko bei Admin-Schlüsseln ist nicht nur, mehr Signaturen zu verlangen — er stellt sicher, dass eine Genehmigung durch mehrere Parteien erforderlich ist, und dass konfigurierbare Zeitverzögerungen für privilegierte Operationen gelten, etwa Contract-Updates, unabhängig davon, wer die Signierschlüssel besitzt. Ein bösartiges Upgrade tritt nicht sofort in Kraft, sobald es signiert wurde. Dafür ist ein Zeitfenster eingebaut — der Moment, in dem jemand merkt, dass die Schlüssel nicht so getrennt waren, wie man dachte.

Was ich nicht weiß, ist, ob das das Problem mit dem einen Raum löst oder es nur verlagert. Wenn genug von Newtons eigenen Operatoren auf dieselbe koordinierte Weise kompromittiert würden — gleicher Cloud-Anbieter, gleiche Phishing-Kampagne — bricht die Zusage aus demselben Grund wie bei Humanity zusammen. Mehr Parteien ist nicht automatisch dasselbe wie wirklich unabhängige Parteien.

Ich bewahre meine Backups inzwischen in verschiedenen Räumen auf. Ich möchte wissen, dass derjenige, der meine Transaktionen prüft, nicht mit derselben Wand verbunden ist.
@NewtonProtocol $NEWT #Newt #newt