Zengo Walletの開発者は、バグバウンティを提供するユニークなアプローチを採用している。
ホワイトハットハッカーに脆弱性を発見してもらうことを目的とする通常のバグバウンティプログラムとは異なり、同社は開発者が管理するアカウントに10BTC(現在の価格で約430,000ドル)を置く。1月7日の発表によると、このBTCを奪取することに成功したハッカーは、それをそのまま保持することができる。
報奨金は1月9日から1月24日の朝まで、15日間にわたって提供される。1月9日にはアカウントのアドレスが公開され、1BTC(約43,000ドル)が含まれる。1月14日にはZengoがさらに4BTC(約172,000ドル)をアカウントに追加し、アカウントを保護するために使用される「セキュリティ要素」の1つを提供する。1月21日には、チームがさらに5BTC(約215,000ドル)を追加し、ウォレットに保管されている合計額を10BTC(約430,000ドル)にする。また、この時点で2つ目のセキュリティ要素も明らかにする。ウォレットは合計3つのセキュリティ要素を使用している。
2つ目の要素が明らかにされた後、ハッカーは1月24日午後4時(UTC時間)までウォレットをクラックする時間がある。この期間中に誰かがウォレットをクラックすることに成功した場合、彼らは10BTCを入手できる。
Zengoは、「シードフレーズの脆弱性がない」ウォレットであると主張している。ユーザーはアカウントを作成した際にシードフレーズをコピーするように求められず、ウォレットはキー保管ファイルも保存しない。
同社の公式ウェブサイトによると、ウォレットはマルチパーティコンピューティング(MPC)ネットワークに依存してトランザクションに署名する。秘密鍵を生成する代わりに、ウォレットは2つの「秘密共有」を作成する。1つ目の共有はユーザーのモバイルデバイスに、2つ目の共有はMPCネットワークに保存される。
ユーザーの共有は、3段階(3FA)認証方法でさらにバックアップされる。共有を復元するには、GoogleまたはAppleアカウントの暗号化されたバックアップファイルと、ウォレットアカウントを作成するために使用したメールアドレスにアクセスできる必要がある。さらに、モバイルデバイスで顔認証を受ける必要がある。これは、共有を再構築するための3つ目の暗号化要素となる。
Zengoによると、MPCネットワークの共有のバックアップ方法も存在する。同チームは、第三者法律事務所に「マスター復号鍵」を提供したと主張している。MPCネットワークのサーバーがオフラインになった場合、この法律事務所は復号鍵をGitHubリポジトリに公開するように指示されている。この鍵が公開されると、アプリは自動的に「復旧モード」に入る。これにより、ユーザーは自分のアカウントに対応するMPCネットワークの共有を再構築することができる。ユーザーが両方の共有を取得すると、従来の秘密鍵を生成して、競合するウォレットアプリにインポートしてアカウントを復元できる。
コインテレグラフの取材に対し、Zengoの最高マーケティング責任者であるエラッド・ブレイスティン氏は、オンチェーンバウンティが仮想通貨コミュニティにおけるMPC技術に関する議論を促進することを期待していると述べた。ブレイスティン氏は、「MPCやTSSなどの複雑な用語は、抽象化しすぎている可能性がある」という。「Zengo Wallet Challengeは、MPCウォレットのセキュリティ上のメリットを従来のハードウェアの代替品と比較して強調し、参加者が活発な議論に参加することを楽しみにしている」
ウォレットのセキュリティは、過去1年間で仮想通貨コミュニティの懸念事項となっている。Atomic Walletの侵害により、ユーザーに1億ドル以上の損失が発生した。開発者は、アプリのセキュリティを将来的に確保するために、バグバウンティプログラムを導入した。Libbitcoin Explorerウォレットライブラリのユーザーも、2023年にハッキングによる90万ドルの損失を報告している。