Згодна з прэс-рэлізам ад 3 сакавіка, прадстаўленым Cointelegraph распрацоўшчыкам кашалькоў Multi-Party Computation (MPC) Safeheron, некаторыя мультысігнатурныя кашалькі могуць быць выкарыстаны праграмамі Web9, якія выкарыстоўваюць пратакол Starknet. Уразлівасць закранае кашалькі MPC, якія ўзаемадзейнічаюць з праграмамі Starknet, такімі як dYdX. Згодна з прэс-рэлізам, Safeheron працуе з распрацоўшчыкамі прыкладанняў, каб выправіць уразлівасць.
Згодна з дакументацыяй па пратаколе Safeheron, кашалькі MPC часам выкарыстоўваюцца фінансавымі ўстановамі і распрацоўшчыкамі прыкладанняў Web3 для абароны крыпта-актываў, якімі яны валодаюць. Яны падобныя на стандартны мультысіг кашалёк патрабаваць некалькі подпісаў для кожнай транзакцыі. Але ў адрозненне ад стандартных мультысігаў, яны не патрабуюць разгортвання спецыялізаваных смарт-кантрактаў у блокчейне, а таксама іх не трэба ўбудоўваць у пратакол блокчейна.
Замест гэтага гэтыя кашалькі працуюць шляхам генерацыі «фрагментаў» прыватнага ключа, прычым кожны шард знаходзіцца ў аднаго падпісанта. Гэтыя фрагменты павінны быць злучаны па-за ланцужком, каб стварыць подпіс. З-за гэтай розніцы кашалькі MPC могуць мець больш нізкія зборы за газ, чым іншыя тыпы мультысігаў, і, згодна з дакументамі, могуць быць агностычнымі на блокчейне.
Кашалькі MPC ёсць часта разглядаецца як больш бяспечны чым кашалькі з адной сігнатурай, паколькі зламыснік звычайна не можа ўзламаць іх, калі яны не скампраметуюць некалькі прылад.
Аднак Safeheron сцвярджае, што выявіў недахоп бяспекі, які ўзнікае, калі гэтыя кашалькі ўзаемадзейнічаюць з праграмамі на аснове Starknet, такімі як dYdX і Fireblocks. Калі гэтыя прыкладанні «атрымліваюць stark_key_signature і/або api_key_signature», яны могуць «абыходзіць абарону бяспекі прыватных ключоў у кашальках MPC», гаворыцца ў прэс-рэлізе кампаніі. Гэта можа дазволіць зламысніку размяшчаць заказы, выконваць перадачы ўзроўню 2, адмяняць заказы і ўдзельнічаць у іншых несанкцыянаваных транзакцыях.
Па тэме: Новае махлярства з «перадачай нулявой кошту» накіравана на карыстальнікаў Ethereum
Safeheron меў на ўвазе, што ўразлівасць толькі пераносіць прыватныя ключы карыстальнікаў да пастаўшчыка кашалька. Такім чынам, пакуль сам пастаўшчык кашалька не з'яўляецца несумленным і не захоплены зламыснікам, сродкі карыстальніка павінны быць у бяспецы. Аднак ён сцвярджаў, што гэта робіць карыстальніка залежным ад даверу да пастаўшчыка кашалька. Гэта можа дазволіць зламыснікам абыйсці бяспеку кашалька, атакуючы саму платформу, як патлумачыла кампанія:
«Узаемадзеянне паміж кашалькамі MPC і dYdX або падобнымі dApps [дэцэнтралізаванымі праграмамі], якія выкарыстоўваюць ключы, атрыманыя з подпісаў, падрывае прынцып самаабароны для платформаў кашалькоў MPC. Кліенты могуць мець магчымасць абыходзіць загадзя вызначаныя палітыкі транзакцый, а супрацоўнікі, якія пакінулі арганізацыю, могуць па-ранейшаму захоўваць магчымасць кіраваць dApp».
Кампанія заявіла, што працуе з распрацоўшчыкамі прыкладанняў Web3 Fireblocks, Fordefi, ZenGo і StarkWare, каб выправіць уразлівасць. Ён таксама паведаміў dYdX аб праблеме, гаворыцца ў паведамленні. У сярэдзіне сакавіка кампанія плануе зрабіць свой пратакол адкрытым зыходным кодам, каб яшчэ больш дапамагчы распрацоўшчыкам прыкладанняў выправіць уразлівасць.
Cointelegraph паспрабаваў звязацца з dYdX, але не змог атрымаць адказ да публікацыі.
Авіху Леві, кіраўнік прадуктовага аддзела StarkWare, сказаў Cointelegraph, што кампанія вітае спробу Safeheron павысіць дасведчанасць аб праблеме і дапамагчы ў яе вырашэнні, заявіўшы:
«Выдатна, што Safeheron адкрывае зыходны код для пратакола, арыентаванага на гэтую задачу[…]Мы рэкамендуем распрацоўшчыкам вырашаць любую праблему бяспекі, якая можа паўстаць пры любой інтэграцыі, якой бы абмежаванай яна ні была. Гэта ўключае ў сябе выклік, які зараз абмяркоўваецца.
Старкнет гэта пласт 2 Пратакол Ethereum што выкарыстоўвае доказы з нулявым веданнем справы для забеспячэння бяспекі сеткі. Калі карыстальнік упершыню падключаецца да праграмы Starknet, ён атрымлівае ключ STARK, выкарыстоўваючы свой звычайны кашалёк Ethereum. Менавіта гэты працэс, па словах Safeheron, прыводзіць да ўцечкі ключоў для кашалькоў MPC.
Starknet паспрабаваў палепшыць сваю бяспеку і дэцэнтралізацыю ў лютым з адкрытым зыходным кодам яго правера.
Крыніца: https://cointelegraph.com/news/multisig-wallets-vulnerable-to-exploitation-by-starknet-apps-says-developer-safeheron