Ορισμένα πορτοφόλια πολλαπλών υπογραφών (multisig) μπορούν να αξιοποιηθούν από εφαρμογές Web3 που χρησιμοποιούν το πρωτόκολλο Starknet, σύμφωνα με ένα δελτίο τύπου στις 9 Μαρτίου που δόθηκε στην Cointelegraph από την εταιρεία ανάπτυξης πορτοφολιών Multi-Party Computation (MPC), Safeheron. Η ευπάθεια επηρεάζει τα πορτοφόλια MPC που αλληλεπιδρούν με εφαρμογές Starknet όπως το dYdX. Σύμφωνα με το δελτίο τύπου, η Safeheron συνεργάζεται με προγραμματιστές εφαρμογών για να επιδιορθώσει την ευπάθεια.
Σύμφωνα με την τεκμηρίωση του πρωτοκόλλου της Safeheron, τα πορτοφόλια MPC χρησιμοποιούνται μερικές φορές από χρηματοπιστωτικά ιδρύματα και προγραμματιστές εφαρμογών Web3 για την ασφάλεια των περιουσιακών στοιχείων κρυπτογράφησης που κατέχουν. Παρόμοια με ένα τυπικό πορτοφόλι multisig, είναι απαιτούν πολλαπλές υπογραφές για κάθε συναλλαγή. Αλλά σε αντίθεση με τα τυπικά multisigs, δεν απαιτούν εξειδικευμένα έξυπνα συμβόλαια για να αναπτυχθούν στο blockchain, ούτε πρέπει να ενσωματωθούν στο πρωτόκολλο του blockchain.
Αντίθετα, αυτά τα πορτοφόλια λειτουργούν δημιουργώντας «θραύσματα» ενός ιδιωτικού κλειδιού, με κάθε θραύσμα να κρατιέται από έναν υπογράφοντα. Αυτά τα θραύσματα πρέπει να ενωθούν μεταξύ τους εκτός αλυσίδας για να δημιουργηθεί μια υπογραφή. Εξαιτίας αυτής της διαφοράς, τα πορτοφόλια MPC μπορούν να έχουν χαμηλότερες χρεώσεις αερίου από άλλους τύπους multisigs και μπορούν να είναι αγνωστικιστές στην αλυσίδα μπλοκ, σύμφωνα με τα έγγραφα.
Τα πορτοφόλια MPC είναι συχνά θεωρείται πιο ασφαλής σε σχέση με τα πορτοφόλια με μία υπογραφή, καθώς ένας εισβολέας δεν μπορεί γενικά να τα χακάρει εκτός και αν θέσει σε κίνδυνο περισσότερες από μία συσκευές.
Ωστόσο, η Safeheron ισχυρίζεται ότι έχει ανακαλύψει ένα ελάττωμα ασφαλείας που προκύπτει όταν αυτά τα πορτοφόλια αλληλεπιδρούν με εφαρμογές που βασίζονται στο Starknet, όπως το dYdX και το Fireblocks. Όταν αυτές οι εφαρμογές «αποκτήσουν μια stark_key_signature και/ή api_key_signature», μπορούν να «παρακάμψουν την προστασία ασφαλείας των ιδιωτικών κλειδιών στα πορτοφόλια MPC», ανέφερε η εταιρεία στο δελτίο τύπου της. Αυτό μπορεί να επιτρέψει σε έναν εισβολέα να υποβάλλει παραγγελίες, να εκτελεί μεταφορές επιπέδου 2, να ακυρώνει παραγγελίες και να συμμετέχει σε άλλες μη εξουσιοδοτημένες συναλλαγές.
Συγγενεύων: Νέα απάτη «μεταφοράς μηδενικής αξίας» στοχεύει χρήστες του Ethereum
Η Safeheron άφησε να εννοηθεί ότι η ευπάθεια διαρρέει μόνο τα ιδιωτικά κλειδιά των χρηστών στον πάροχο πορτοφολιών. Επομένως, εφόσον ο ίδιος ο πάροχος πορτοφολιού δεν είναι ανέντιμος και δεν έχει εξαγοραστεί από εισβολέα, τα χρήματα του χρήστη θα πρέπει να είναι ασφαλή. Ωστόσο, υποστήριξε ότι αυτό καθιστά τον χρήστη εξαρτημένο από την εμπιστοσύνη στον πάροχο πορτοφολιών. Αυτό μπορεί να επιτρέψει στους εισβολείς να παρακάμψουν την ασφάλεια του πορτοφολιού επιτίθενται στην ίδια την πλατφόρμα, όπως εξήγησε η εταιρεία:
«Η αλληλεπίδραση μεταξύ των πορτοφολιών MPC και του dYdX ή παρόμοιων dApps [αποκεντρωμένων εφαρμογών] που χρησιμοποιούν κλειδιά που προέρχονται από την υπογραφή υπονομεύει την αρχή της αυτοεπιμέλειας για τις πλατφόρμες πορτοφολιών MPC. Οι πελάτες ενδέχεται να μπορούν να παρακάμψουν προκαθορισμένες πολιτικές συναλλαγών και οι εργαζόμενοι που έχουν εγκαταλείψει τον οργανισμό μπορεί να διατηρούν ακόμα τη δυνατότητα να λειτουργούν το dApp.
Η εταιρεία είπε ότι συνεργάζεται με τους προγραμματιστές εφαρμογών Web3 Fireblocks, Fordefi, ZenGo και StarkWare για την επιδιόρθωση της ευπάθειας. Ενημέρωσε επίσης το dYdX για το πρόβλημα. Στα μέσα Μαρτίου, η εταιρεία σχεδιάζει να κάνει το πρωτόκολλό της ανοιχτού κώδικα, σε μια προσπάθεια να βοηθήσει περαιτέρω τους προγραμματιστές εφαρμογών να επιδιορθώσουν την ευπάθεια.
Η Cointelegraph προσπάθησε να επικοινωνήσει με την dYdX, αλλά δεν μπόρεσε να λάβει απάντηση πριν από τη δημοσίευση.
Ο Avihu Levy, Επικεφαλής Προϊόντος της StarkWare είπε στην Cointelegraph ότι η εταιρεία επικροτεί την προσπάθεια της Safeheron να ευαισθητοποιήσει σχετικά με το ζήτημα και να βοηθήσει στην παροχή μιας επιδιόρθωσης, δηλώνοντας:
«Είναι υπέροχο που η Safeheron παρέχει ένα πρωτόκολλο ανοιχτού κώδικα που εστιάζει σε αυτήν την πρόκληση[…]Ενθαρρύνουμε τους προγραμματιστές να αντιμετωπίσουν οποιαδήποτε πρόκληση ασφαλείας που θα προκύψει με οποιαδήποτε ενσωμάτωση, όσο περιορισμένο κι αν είναι το εύρος της. Αυτό περιλαμβάνει την πρόκληση που συζητείται τώρα.
Starknet είναι ένα στρώμα 2 Πρωτόκολλο Ethereum που χρησιμοποιεί αποδείξεις μηδενικής γνώσης για την ασφάλεια του δικτύου. Όταν ένας χρήστης συνδέεται για πρώτη φορά σε μια εφαρμογή Starknet, αντλεί ένα κλειδί STARK χρησιμοποιώντας το συνηθισμένο πορτοφόλι Ethereum. Αυτή είναι η διαδικασία που λέει η Safeheron ότι έχει ως αποτέλεσμα τη διαρροή κλειδιών για τα πορτοφόλια MPC.
Το Starknet προσπάθησε να βελτιώσει την ασφάλεια και την αποκέντρωση του τον Φεβρουάριο Open-Sourcing.
Πηγή: https://cointelegraph.com/news/multisig-wallets-vulnerable-to-exploitation-by-starknet-apps-says-developer-safeheron