Nekatere denarnice z več podpisi (multisig) lahko izkoriščajo aplikacije Web3, ki uporabljajo protokol Starknet, v skladu s sporočilom za javnost z dne 9. marca, ki ga je Cointelegraphu posredoval Safeheron, razvijalec denarnice Multi-Party Computation (MPC). Ranljivost vpliva na denarnice MPC, ki komunicirajo z aplikacijami Starknet, kot je dYdX. Glede na sporočilo za javnost Safeheron sodeluje z razvijalci aplikacij, da bi popravili ranljivost.
Glede na dokumentacijo protokola Safeheron denarnice MPC včasih uporabljajo finančne institucije in razvijalci aplikacij Web3 za zavarovanje kripto sredstev, ki jih imajo v lasti. Podobno kot standardna multisig denarnica, oni zahteva več podpisov za vsako transakcijo. Toda v nasprotju s standardnimi multisigi ne zahtevajo, da bi bile specializirane pametne pogodbe uvedene v verigo blokov, niti jih ni treba vgraditi v protokol verige blokov.
Namesto tega te denarnice delujejo tako, da ustvarijo »delce« zasebnega ključa, pri čemer ima vsak delček en podpisnik. Te drobce je treba združiti zunaj verige, da ustvarijo podpis. Zaradi te razlike imajo lahko denarnice MPC nižje pristojbine za plin kot druge vrste multisigov in so lahko glede na dokumente agnostične za verigo blokov.
MPC denarnice so pogosto velja za bolj varnega kot denarnice z enim podpisom, saj jih napadalec na splošno ne more vdreti, razen če ogrozi več kot eno napravo.
Vendar Safeheron trdi, da je odkril varnostno napako, ki se pojavi, ko te denarnice komunicirajo z aplikacijami, ki temeljijo na Starknetu, kot sta dYdX in Fireblocks. Ko te aplikacije "pridobijo stark_key_signature in/ali api_key_signature," lahko "zaobidejo varnostno zaščito zasebnih ključev v denarnicah MPC," je družba zapisala v svojem sporočilu za javnost. To lahko napadalcu omogoči oddajanje naročil, izvajanje prenosov na ravni 2, preklic naročil in vključevanje v druge nepooblaščene transakcije.
Povezano: Nova prevara s prenosom ničelne vrednosti cilja na uporabnike Ethereuma
Safeheron je nakazal, da ranljivost ponudniku denarnice pušča le zasebne ključe uporabnikov. Torej, dokler sam ponudnik denarnice ni nepošten in ga ni prevzel napadalec, bi morala biti denarna sredstva uporabnika varna. Vendar pa je trdil, da je zaradi tega uporabnik odvisen od zaupanja v ponudnika denarnice. To lahko napadalcem omogoči, da se izognejo varnosti denarnice z napadom na samo platformo, kot je pojasnilo podjetje:
»Interakcija med denarnicami MPC in dYdX ali podobnimi dApps [decentraliziranimi aplikacijami], ki uporabljajo ključe, pridobljene s podpisom, spodkopava načelo samostojnega skrbništva za platforme denarnice MPC. Stranke bodo morda lahko zaobšle vnaprej določene transakcijske pravilnike, zaposleni, ki so zapustili organizacijo, pa bodo morda še vedno lahko upravljali dApp.«
Podjetje je dejalo, da sodeluje z razvijalci aplikacij Web3 Fireblocks, Fordefi, ZenGo in StarkWare, da bi odpravili ranljivost. Prav tako je dYdX seznanil s težavo, je dejal. Sredi marca podjetje načrtuje, da bo njegov protokol odprtokoden, da bi dodatno pomagal razvijalcem aplikacij popraviti ranljivost.
Cointelegraph je poskušal vzpostaviti stik z dYdX, vendar ni mogel dobiti odgovora pred objavo.
Avihu Levy, vodja produktnega oddelka pri StarkWare, je za Cointelegraph povedal, da podjetje pozdravlja Safeheronov poskus ozaveščanja o težavi in pomoči pri zagotavljanju popravka, pri čemer je dejal:
»Super je, da Safeheron ponuja odprtokodni protokol, ki se osredotoča na ta izziv […]Razvijalce spodbujamo, da obravnavajo vse varnostne izzive, ki bi se pojavili pri kakršni koli integraciji, ne glede na to, kako omejen je njen obseg. To vključuje izziv, o katerem zdaj razpravljamo.
Starknet je sloj 2 Protokol Ethereum, ki uporablja dokaze brez znanja za zaščito omrežja. Ko se uporabnik prvič poveže z aplikacijo Starknet, pridobi ključ STARK s svojo običajno denarnico Ethereum. Safeheron pravi, da je ta proces posledica puščanja ključev za denarnice MPC.
Starknet je februarja poskušal izboljšati svojo varnost in decentralizacijo odprtokodnega svojega dokazovalnika.
Vir: https://cointelegraph.com/news/multisig-wallets-vulnerable-to-exploitation-by-starknet-apps-says-developer-safeheron