Відповідно до прес-релізу від 3 березня, наданого Cointelegraph розробником гаманців Multi-Party Computation (MPC) Safeheron, деякі гаманці з мультипідписом (multisig) можуть бути використані додатками Web9, які використовують протокол Starknet. Уразливість впливає на гаманці MPC, які взаємодіють із програмами Starknet, такими як dYdX. Згідно з прес-релізом, Safeheron працює з розробниками додатків, щоб виправити вразливість.
Згідно з документацією протоколу Safeheron, гаманці MPC іноді використовуються фінансовими установами та розробниками додатків Web3 для захисту криптоактивів, якими вони володіють. Подібно до стандартного гаманця multisig, вони вимагати кілька підписів для кожної транзакції. Але на відміну від стандартних мультипідписів, вони не вимагають розгортання спеціалізованих смарт-контрактів у блокчейні, а також їх не потрібно вбудовувати в протокол блокчейну.
Натомість ці гаманці працюють шляхом генерації «фрагментів» закритого ключа, причому кожен шард зберігається одним підписувачем. Щоб створити підпис, ці сегменти потрібно з’єднати разом поза ланцюгом. Через цю різницю гаманці MPC можуть мати нижчу комісію за газ, ніж інші типи мультипідписів, і, відповідно до документів, можуть бути агностиками блокчейну.
Гаманці MPC є часто вважається більш безпечним ніж гаманці з одним підписом, оскільки зловмисник зазвичай не може зламати їх, якщо вони не скомпрометують більше одного пристрою.
Однак Safeheron стверджує, що виявив недолік безпеки, який виникає, коли ці гаманці взаємодіють із додатками на базі Starknet, такими як dYdX і Fireblocks. Коли ці програми «отримають stark_key_signature та/або api_key_signature», вони можуть «обійти захист безпеки приватних ключів у гаманцях MPC», — йдеться в прес-релізі компанії. Це може дозволити зловмиснику розміщувати замовлення, виконувати перекази рівня 2, скасовувати замовлення та брати участь у інших несанкціонованих транзакціях.
За темою: Нове шахрайство з «переказом нульової вартості» націлене на користувачів Ethereum
Safeheron має на увазі, що вразливість лише передає приватні ключі користувачів постачальнику гаманця. Тому, поки сам постачальник гаманця не є нечесним і не був захоплений зловмисником, кошти користувача повинні бути в безпеці. Однак він стверджував, що це робить користувача залежним від довіри до постачальника гаманця. Це може дозволити зловмисникам обійти безпеку гаманця, атакуючи саму платформу, як пояснила компанія:
«Взаємодія між гаманцями MPC і dYdX або подібними dApp [децентралізованими програмами], які використовують отримані від підпису ключі, підриває принцип самоохорони для платформ гаманців MPC. Клієнти можуть обійти попередньо визначені політики транзакцій, а співробітники, які покинули організацію, можуть зберегти можливість керувати dApp».
Компанія заявила, що працює з розробниками додатків Web3 Fireblocks, Fordefi, ZenGo і StarkWare, щоб виправити вразливість. За його словами, компанія DYdX повідомила про проблему. У середині березня компанія планує зробити свій протокол відкритим кодом, щоб допомогти розробникам додатків виправити вразливість.
Cointelegraph намагався зв’язатися з dYdX, але не зміг отримати відповідь до публікації.
Авіху Леві, керівник відділу продуктів у StarkWare, сказав Cointelegraph, що компанія схвалює спробу Safeheron підвищити обізнаність про проблему та допомогти її виправити, зазначивши:
«Чудово, що Safeheron відкриває протокол, який зосереджується на цій проблемі[…]Ми заохочуємо розробників вирішувати будь-яку проблему безпеки, яка може виникнути під час будь-якої інтеграції, якою б обмеженою вона не була. Це включає виклик, який зараз обговорюється.
Старкнет це шар 2 Протокол Ethereum що використовує докази з нульовим знанням щоб захистити мережу. Коли користувач вперше підключається до програми Starknet, він отримує ключ STARK за допомогою свого звичайного гаманця Ethereum. Саме цей процес, за словами Safeheron, призводить до витоку ключів для гаманців MPC.
У лютому Starknet спробувала покращити свою безпеку та децентралізацію відкритий вихідний код для перевірки.
Джерело: https://cointelegraph.com/news/multisig-wallets-vulnerable-to-exploitation-by-starknet-apps-says-developer-safeheron