Anumite portofele cu semnături multiple (multisig) pot fi exploatate de aplicațiile Web3 care utilizează protocolul Starknet, conform unui comunicat de presă din 9 martie furnizat Cointelegraph de către dezvoltatorul de portofel Multi-Party Computation (MPC) Safeheron. Vulnerabilitatea afectează portofelele MPC care interacționează cu aplicațiile Starknet, cum ar fi dYdX. Potrivit comunicatului de presă, Safeheron lucrează cu dezvoltatorii de aplicații pentru a corecta vulnerabilitatea.
Conform documentației protocolului Safeheron, portofelele MPC sunt uneori folosite de instituțiile financiare și dezvoltatorii de aplicații Web3 pentru a securiza activele cripto pe care le dețin. Similar cu un portofel standard multisig, ei necesita semnături multiple pentru fiecare tranzacție. Dar, spre deosebire de multisig-urile standard, nu necesită contracte inteligente specializate pentru a fi implementate în blockchain și nici nu trebuie să fie încorporate în protocolul blockchain.
În schimb, aceste portofele funcționează prin generarea de „fragmente” ale unei chei private, fiecare fragment fiind deținut de un semnatar. Aceste cioburi trebuie să fie unite în afara lanțului pentru a produce o semnătură. Din cauza acestei diferențe, portofelele MPC pot avea taxe de gaz mai mici decât alte tipuri de multisig și pot fi agnostice blockchain, conform documentației.
Portofelele MPC sunt adesea văzută ca mai sigură decât portofelele cu o singură semnătură, deoarece un atacator nu le poate pirata în general decât dacă compromite mai mult de un dispozitiv.
Cu toate acestea, Safeheron susține că a descoperit o defecțiune de securitate care apare atunci când aceste portofele interacționează cu aplicații bazate pe Starknet, cum ar fi dYdX și Fireblocks. Când aceste aplicații „obțin o semnătură stark_key_signature și/sau api_key_signature”, ele pot „ocoli protecția de securitate a cheilor private din portofelele MPC”, a spus compania în comunicatul său de presă. Acest lucru poate permite unui atacator să plaseze comenzi, să efectueze transferuri de nivel 2, să anuleze comenzi și să se angajeze în alte tranzacții neautorizate.
Related: O nouă înșelătorie „transfer de valoare zero” vizează utilizatorii Ethereum
Safeheron a sugerat că vulnerabilitatea transmite doar cheile private ale utilizatorilor către furnizorul de portofel. Prin urmare, atâta timp cât furnizorul de portofel în sine nu este necinstit și nu a fost preluat de un atacator, fondurile utilizatorului ar trebui să fie în siguranță. Cu toate acestea, a susținut că acest lucru face utilizatorul dependent de încrederea în furnizorul de portofel. Acest lucru poate permite atacatorilor să ocolească securitatea portofelului atacând platforma însăși, după cum a explicat compania:
„Interacțiunea dintre portofelele MPC și dYdX sau dApps similare [aplicații descentralizate] care folosesc chei derivate din semnătură subminează principiul auto-custodiei pentru platformele de portofel MPC. Clienții ar putea să ocolească politicile de tranzacție predefinite, iar angajații care au părăsit organizația își pot păstra în continuare capacitatea de a opera dApp.”
Compania a spus că lucrează cu dezvoltatorii de aplicații Web3 Fireblocks, Fordefi, ZenGo și StarkWare pentru a corecta vulnerabilitatea. De asemenea, a făcut dYdX conștient de problemă, a spus. La mijlocul lunii martie, compania intenționează să-și facă protocolul open source într-un efort de a ajuta în continuare dezvoltatorii de aplicații să corecteze vulnerabilitatea.
Cointelegraph a încercat să contacteze dYdX, dar nu a reușit să obțină un răspuns înainte de publicare.
Avihu Levy, șeful de produs la StarkWare a declarat pentru Cointelegraph că compania aplaudă încercarea Safeheron de a crește gradul de conștientizare a problemei și de a ajuta la remedierea problemei, declarând:
„Este grozav că Safeheron oferă open-source un protocol care se concentrează pe această provocare […] Încurajăm dezvoltatorii să abordeze orice provocare de securitate care ar trebui să apară odată cu orice integrare, oricât de limitată este domeniul de aplicare. Aceasta include provocarea care este discutată acum.
Starknet este un strat 2 Protocolul Ethereum care folosește dovezi de cunoștințe zero pentru a securiza rețeaua. Când un utilizator se conectează pentru prima dată la o aplicație Starknet, obțin o cheie STARK folosind portofelul său obișnuit Ethereum. Acesta este procesul despre care Safeheron spune că are ca rezultat scurgeri de chei pentru portofelele MPC.
Starknet a încercat să-și îmbunătățească securitatea și descentralizarea în februarie până la aprovizionarea cu surse deschise.
Sursa: https://cointelegraph.com/news/multisig-wallets-vulnerable-to-exploitation-by-starknet-apps-says-developer-safeheron