Određeni novčanici sa više potpisa (multisignature) mogu biti iskorišćeni od strane Web3 aplikacija koje koriste Starknet protokol, prema saopštenju za štampu od 9. marta koje je Cointelegraph dao programer novčanika sa više stranaka (MPC) Safeheron. Ranjivost utiče na MPC novčanike koji su u interakciji sa Starknet aplikacijama kao što je dYdX. Prema saopštenju za javnost, Safeheron radi sa programerima aplikacija na zakrpi ranjivosti.
Prema Safeheronovoj dokumentaciji protokola, MPC novčanike ponekad koriste finansijske institucije i programeri Web3 aplikacija za osiguranje kripto imovine koju posjeduju. Slično standardnom multisign novčaniku, oni zahtijevati više potpisa za svaku transakciju. Ali za razliku od standardnih multipotpisa, oni ne zahtijevaju specijalizirane pametne ugovore za implementaciju u blockchain, niti moraju biti ugrađeni u blockchain protokol.
Umjesto toga, ovi novčanici funkcionišu tako što generišu "djelove" privatnog ključa, pri čemu svaki dio drži jedan potpisnik. Ovi dijelovi moraju biti spojeni van lanca kako bi se proizveo potpis. Zbog ove razlike, MPC novčanici mogu imati niže naknade za gas od drugih tipova multi-potpisa i mogu biti agnostički za blockchain, prema dokumentima.
MPC novčanici su često se smatra sigurnijim nego novčanike s jednim potpisom, budući da ih napadač općenito ne može hakirati osim ako ne ugrozi više od jednog uređaja.
Međutim, Safeheron tvrdi da je otkrio sigurnosni propust koji nastaje kada ovi novčanici stupe u interakciju sa Starknet-baziranim aplikacijama kao što su dYdX i Fireblocks. Kada ove aplikacije "dobiju stark_key_signature i/ili api_key_signature", one mogu "zaobići sigurnosnu zaštitu privatnih ključeva u MPC novčanicima", navodi kompanija u svom saopštenju za javnost. Ovo može omogućiti napadaču da postavlja narudžbe, vrši transfere sloja 2, otkaže naloge i učestvuje u drugim neovlaštenim transakcijama.
Povezano: Nova prevara "transfera nulte vrijednosti" cilja na korisnike Ethereuma
Safeheron implicira da ranjivost samo propušta privatne ključeve korisnika do dobavljača novčanika. Stoga, sve dok sam provajder novčanika nije nepošten i nije ga preuzeo napadač, sredstva korisnika bi trebala biti sigurna. Međutim, tvrdi se da to čini korisnika ovisnim o povjerenju u dobavljača novčanika. Ovo može omogućiti napadačima da zaobiđu sigurnost novčanika napadom na samu platformu, kako je kompanija objasnila:
„Interakcija između MPC novčanika i dYdX-a ili sličnih dApps-a [decentralizovanih aplikacija] koje koriste ključeve izvedene iz potpisa podriva princip samozaštite za MPC platforme novčanika. Kupci će možda moći zaobići unaprijed definirane politike transakcija, a zaposleni koji su napustili organizaciju mogu i dalje zadržati sposobnost upravljanja dApp-om.”
Kompanija je saopštila da radi sa programerima Web3 aplikacija Fireblocks, Fordefi, ZenGo i StarkWare na zakrpanju ranjivosti. Takođe je učinio dYdX svjestan problema, navodi se. Sredinom marta, kompanija planira svoj protokol učiniti otvorenim kodom u nastojanju da dodatno pomogne programerima aplikacija da zakrpe ranjivost.
Cointelegraph je pokušao kontaktirati dYdX, ali nije uspio dobiti odgovor prije objavljivanja.
Avihu Levy, šef proizvoda u StarkWareu, rekao je za Cointelegraph da kompanija pozdravlja pokušaj Safeherona da podigne svijest o problemu i pomogne u rješavanju problema, navodeći:
“Sjajno je što Safeheron nudi protokol otvorenog koda koji se fokusira na ovaj izazov[…]Ohrabrujemo programere da se pozabave bilo kojim sigurnosnim izazovom koji bi trebao nastati s bilo kojom integracijom, bez obzira na ograničen njegov opseg. Ovo uključuje izazov o kojem se sada raspravlja.
Starknet je sloj 2 Ethereum protokol to koristi dokaze bez znanja da osigurate mrežu. Kada se korisnik prvi put poveže sa Starknet aplikacijom, dobija STARK ključ koristeći svoj obični Ethereum novčanik. Upravo ovaj proces za koji Safeheron kaže da rezultira procurjelim ključevima za MPC novčanike.
Starknet je pokušao da poboljša svoju sigurnost i decentralizaciju u februaru do open-sourcing njegov dokazivač.
Izvor: https://cointelegraph.com/news/multisig-wallets-vulnerable-to-exploitation-by-starknet-apps-says-developer-safeheron