30 лістапада Гай Зіскінд, генеральны дырэктар сакрэтнай сеткі блокчейна смарт-кантрактаў Secret Network, сказаў што распрацоўшчыкі выправілі ўразлівасць, звязаную з прыватнасцю, і сродкі карыстальнікаў застаюцца ў бяспецы. У дакуменце ад 29 лістапада Secret Network напісала, што карыстальнікам і распрацоўшчыкам не патрабуецца ніякіх дзеянняў і што ўсе актыўныя вузлы былі абноўлены для выпраўлення эксплойта 2 лістапада.
2/ Вы можаце прачытаць паведамленне для атрымання асноўных дэталяў, але важная частка заключаецца ў тым, што ўразлівасць была аслаблена і наўрад ці была выкарыстана. Самае галоўнае, што сродкі ніколі не падвяргаліся рызыцы, таму што Secret наўмысна не спадзяецца на SGX для правільнасці - толькі на прыватнасць.
— Гай Зіскінд (@GuyZys) Лістапада 29, 2022
Паслядоўнасць падзей, прадставіла Учора позна ўчора распрацоўшчыкі Secret Network пачаліся, калі група даследчыкаў інфарматыкі з белымі капялюшамі звязалася з камандай Secret 3 кастрычніка наконт нядаўна раскрытай архітэктурнай памылкі xAPIC (Advanced Programmable Interrupt Controller). Эксплойт дазволіў неініцыялізаванае чытанне памяці ў некаторых працэсарах Intel з падтрымкай пашырэння Software Guard (SGX). Secret Network выкарыстоўвае тэхналогію SGX для забеспячэння канфідэнцыйнага выканання смарт-кантрактаў.
As заявіў, у сваёй працы даследчыкі ўпершыню зарэгістравалі сервер у якасці вузла валідатара ў Secret Network, нават калі ў іх не было дастаткова сродкаў, каб можна было давяраць актыўнай праверцы транзакцый. Працэс рэгістрацыі затым захаваў копію глабальнага кансенсуснага зерня Secret у сваім анклаве SGX. Далей, праз вышэйзгаданы збой працэсара, даследчыкі здабылі зерне кансенсусу сакрэтнага вузла і прыватнага ключа Intel Enhanced Privacy ID. Нарэшце, з дапамогай гэтых элементаў яны змаглі парушыць функцыі захавання прыватнасці Secret і расшыфраваць унутраны стан усіх смарт-кантрактаў у сетцы, а таксама лічбавых актываў, убудаваных у іх.
Сакрэтныя распрацоўшчыкі праверылі эксплойт 4 кастрычніка і разам з даследчыкамі і супрацоўнікамі Intel распрацавалі план выпраўлення ўразлівасці. Спачатку вузлы былі прымусова выкінуты з сеткі, а іх сакрэтныя ключы выдалены. Пасля гэтага вузлы маглі зноў далучыцца да сеткі толькі ў тым выпадку, калі яны выправілі ўсе вядомыя ўразлівасці, што было завершана 2 лістапада. «З гэтым абнаўленнем цяпер немагчыма праводзіць атакі xAPIC супраць асноўнай сеткі Secret Network», — напісала каманда Secret Network.
Акрамя таго, новыя вузлы, якія далучаюцца да сеткі, будуць абмежаваныя толькі абсталяваннем сервернага класа, каб абмежаваць паверхню атакі, якую прадстаўляе абсталяванне карыстальніцкага класа. Кампанія Secret Network, заснаваная ў 2015 годзе, у цяперашні час мае рынкавую капіталізацыю ў 131 мільён долараў праз уласны токен SCRT. Фірма супрацоўнічала з рэжысёрам Квенцінам Таранціна, каб запусціць Secret NFT у лістападзе мінулага года.
Крыніца: https://cointelegraph.com/news/secret-network-resolves-network-vulnerability-following-white-hat-disclosure