Я смотрел на некоторые операции, которые якобы были частью Bitfinex взломать, чтобы увидеть, если я мог убедиться, что две клавиши были использованы пользователем клавиши и BitGo (в отличие от пользователей и ключей резервного копирования). BitGo использует HD бумажники, и требует три xpub клавиши. Первые два ключа от клиента (ключа пользователя и ключа резервного копирования), третий ключ генерируется BitGo. И клиент, и сервер знают все pubkeys, но только клиент знает privkeys из первых двух, и только BitGo знает privkey третьего ключа.

Теперь BIP32 или HD часть. Документация BitGo говорит:


Так если предположить, что Bitfinex и BitGo как создать новый ключ за бумажником, первые и последние ключи для кошелька должны быть уникальными для каждого адреса, так как путь цепи будет меняться для каждого адреса, например, SomeKey / 0/0/0/0, SomeKey / 0/0/0/1, SomeKey / 0/0/0/2 и т.д. Таким образом, эти ключи будут уникальными как в адресах бумажника, и по адресам всех Ключницы ,

Тем не менее, если резервный ключ должен находиться в холодильниках (который до сих пор позволяет создавать дочерний pubkeys, только не privkeys), то хотя ребенок ключи будет уникальным по адресам в бумажнике, я бы ожидать, бумажники, чтобы иметь же сгенерированные дочерние ключи, так как пути цепи будет таким же ("Первый принимающий адрес бумажника находится на пути BIP32 м / 0/0/0/0").

Глядя на предполагаемый перечень операций, связанных с хака, Я не видел экземпляр дубликата ключа резервного копирования.

Например, эта сделка имеют следующие уникальные сценарии выкупа, содержащие три pubkeys каждые:

Второй столбец, где резервный ключ должен быть. Я открыл около 20 или 30 других сделок из списка и извлекаюсь все pubkeys из второго столбца, и никаких две транзакций не разделяли эти ключи.

Это означало бы, что Bitfinex генерирует резервный ключ для каждого пользователя, а не с помощью ключа холодного хранения?