Vastavalt 3. märtsi pressiteatele, mille Multi-Party Computation (MPC) rahakoti arendaja Safeheron edastas Cointelegraphile, saavad teatud mitme allkirjaga (multisig) rahakotte kasutada Web9 rakendused, mis kasutavad Starkneti protokolli. Haavatavus mõjutab MPC rahakotte, mis suhtlevad Starkneti rakendustega, nagu dYdX. Pressiteate kohaselt teeb Safeheron haavatavuse parandamiseks koostööd rakenduste arendajatega.
Safeheroni protokolli dokumentatsiooni kohaselt kasutavad finantsasutused ja Web3 rakenduste arendajad mõnikord MPC rahakotte neile kuuluvate krüptovarade turvamiseks. Sarnaselt tavalisele multisig-rahakotile nõudma iga tehingu jaoks mitu allkirja. Kuid erinevalt tavalistest multisigidest ei nõua need plokiahelasse spetsiaalsete nutikate lepingute juurutamist ega pea olema plokiahela protokolli sisse ehitatud.
Selle asemel töötavad need rahakotid privaatvõtme "killud" genereerides, kusjuures iga killu hoiab üks allkirjastaja. Need killud tuleb allkirja saamiseks ühendada ahelavälisel viisil. Selle erinevuse tõttu võivad MPC rahakottidel olla madalamad gaasitasud kui muud tüüpi multisigidel ja need võivad dokumentide kohaselt olla plokiahela agnostikud.
MPC rahakotid on sageli peetakse turvalisemaks kui ühe allkirjaga rahakotid, kuna ründaja ei saa neid üldiselt häkkida, kui need ei ohusta rohkem kui ühte seadet.
Kuid Safeheron väidab, et on avastanud turvavea, mis tekib siis, kui need rahakotid suhtlevad Starkneti-põhiste rakendustega, nagu dYdX ja Fireblocks. Kui need rakendused "saavad stark_key_signature ja/või api_key_signature", saavad nad "MPC rahakottide privaatvõtmete turvakaitsest mööda minna", ütles ettevõte oma pressiteates. See võib lubada ründajal esitada tellimusi, sooritada teise kihi ülekandeid, tühistada tellimusi ja teha muid volitamata tehinguid.
Seotud: Uus "nullväärtuse ülekande" pettus on suunatud Ethereumi kasutajatele
Safeheron andis mõista, et haavatavus lekitab rahakoti pakkujale ainult kasutajate privaatvõtmeid. Seega, seni, kuni rahakoti pakkuja ise ei ole ebaaus ja ründaja pole teda üle võtnud, peaksid kasutaja raha olema kaitstud. Siiski väitis ta, et see muudab kasutaja sõltuvaks usaldusest rahakoti pakkuja vastu. See võib võimaldada ründajatel rahakoti turvalisusest mööda hiilida, rünnates platvormi ennast, nagu ettevõte selgitas:
MPC rahakottide ja dYdX-i või sarnaste allkirjast tuletatud võtmeid kasutavate dAppide (detsentraliseeritud rakenduste) vaheline koostoime õõnestab MPC rahakotiplatvormide enesehoolduse põhimõtet. Kliendid võivad eelmääratletud tehingupoliitikatest mööda minna ja organisatsioonist lahkunud töötajad võivad siiski säilitada dAppi kasutamise.
Ettevõte teatas, et teeb haavatavuse parandamiseks koostööd Web3 rakenduste arendajatega Fireblocks, Fordefi, ZenGo ja StarkWare. Samuti on see dYdX-i probleemist teadlikuks teinud. Märtsi keskel kavatseb ettevõte muuta oma protokolli avatud lähtekoodiga, et aidata rakenduste arendajatel haavatavust veelgi parandada.
Cointelegraph on püüdnud dYdX-iga ühendust võtta, kuid pole saanud enne avaldamist vastust.
StarkWare'i tootejuht Avihu Levy ütles Cointelegraphile, et ettevõte kiidab Safeheroni katset tõsta teadlikkust probleemist ja aidata lahendust leida, öeldes:
„On suurepärane, et Safeheron kasutab avatud lähtekoodiga protokolli, mis keskendub sellele väljakutsele[…]Julgustame arendajaid tegelema mis tahes turbeprobleemidega, mis peaksid tekkima mis tahes integratsiooniga, hoolimata sellest, kuivõrd see on piiratud. See hõlmab väljakutset, mida praegu arutatakse.
Starknet on kiht 2 Ethereumi protokoll, mis kasutab nullteadmiste tõestusi võrgu turvamiseks. Kui kasutaja esimest korda Starkneti rakendusega ühenduse loob, tuletab ta oma tavalise Ethereumi rahakoti abil STARK-võtme. Just see protsess põhjustab Safeheroni sõnul MPC rahakottide võtmete lekkimist.
Starknet üritas veebruaris oma turvalisust ja detsentraliseerimist parandada avatud lähtekoodiga selle tõend.
Allikas: https://cointelegraph.com/news/multisig-wallets-vulnerable-to-exploitation-by-starknet-apps-says-developer-safeheron