ظاهراً این آسیبپذیری به برنامههای Web3 با استفاده از پروتکل Starknet اجازه میدهد تا به طور بالقوه کلیدهای خصوصی کاربران را در معرض ارائهدهندگان کیف پول قرار دهند و از حفاظت امنیتی کلیدهای خصوصی در کیفهای MPC دور بزنند.
بر اساس یک بیانیه مطبوعاتی در 9 مارس که توسط توسعه دهنده کیف پول محاسبات چند جانبه (MPC) Safeheron در اختیار Cointelegraph قرار گرفت، برخی از کیف پول های چند امضایی (چند امضایی) می توانند توسط برنامه های Web3 با استفاده از پروتکل Starknet استفاده شوند. این آسیبپذیری کیف پولهای MPC را تحت تأثیر قرار میدهد که با برنامههای Starknet مانند dYdX تعامل دارند. طبق بیانیه مطبوعاتی، Safeheron در حال کار با توسعه دهندگان برنامه برای رفع این آسیب پذیری است.
طبق اسناد پروتکل Safeheron، کیف پول MPC گاهی اوقات توسط مؤسسات مالی و توسعه دهندگان برنامه Web3 برای ایمن سازی دارایی های رمزنگاری شده خود استفاده می شود. مشابه یک کیف پول استاندارد multisig، برای هر تراکنش به چندین امضا نیاز دارند. اما بر خلاف مولتی سیگ های استاندارد، نیازی به قراردادهای هوشمند خاص برای استقرار در بلاک چین ندارند و نیازی به ادغام در پروتکل بلاک چین ندارند.
در عوض، این کیف پولها با ایجاد «تکههایی» از یک کلید خصوصی کار میکنند که در آن هر قطعه توسط یک امضاکننده نگهداری میشود. این قطعات باید خارج از زنجیره به هم متصل شوند تا یک امضا ایجاد شود. طبق اسناد، به دلیل این تفاوت، کیف پولهای MPC میتوانند کارمزد گاز کمتری نسبت به سایر انواع مولتی سیگ داشته باشند و آگنوستیک بلاک چین باشند.
کیف پولهای MPC اغلب امنتر از کیفپولهای تک امضایی دیده میشوند، زیرا مهاجم معمولا نمیتواند چندین دستگاه را هک کند، مگر اینکه آنها را به خطر انداخته باشد.
با این حال، Safeheron ادعا میکند که آسیبپذیری را کشف کرده است که هنگام تعامل این کیف پولها با برنامههای مبتنی بر Starknet مانند dYdX و Fireblocks آشکار میشود. این شرکت در بیانیه مطبوعاتی خود گفت که هنگامی که این برنامهها “Stark_key_signature و/یا api_key_signature” را دریافت کردند، میتوانند “حفاظت امنیتی کلیدهای خصوصی را در کیف پول MPC دور بزنند.” این می تواند به مهاجم اجازه دهد تا سفارش دهد، انتقال های لایه 2 را انجام دهد، سفارش ها را لغو کند و در سایر تراکنش های غیرمجاز شرکت کند.
مطالب مرتبط: کلاهبرداری جدید «انتقال ارزش صفر» کاربران اتریوم را هدف قرار می دهد
Safeheron اشاره کرد که این آسیبپذیری فقط کلیدهای خصوصی کاربران را به ارائهدهنده کیف پول لو میدهد. بنابراین، وجوه کاربر باید ایمن باشد، تا زمانی که خود ارائهدهنده کیف پول ناصادق باشد و توسط یک مهاجم به خطر نیفتد. با این حال، او استدلال کرد که این باعث می شود کاربر به اعتماد به ارائه دهنده کیف پول وابسته شود. همانطور که شرکت توضیح می دهد، این می تواند به مهاجمان اجازه دهد تا با حمله به خود پلتفرم، امنیت کیف پول را دور بزنند:
“تعامل بین کیف پول MPC و dYdX یا dApp های مشابه [decentralized applications] استفاده از کلیدهای مشتق از امضا، اصل نظارت بر خود را برای پلتفرم های کیف پول MPC تضعیف می کند. مشتریان می توانند سیاست های تراکنش های از پیش تعریف شده را دور بزنند و کارمندانی که سازمان را ترک می کنند می توانند توانایی اجرای dApp را حفظ کنند.”
این شرکت گفت که با توسعه دهندگان برنامه Web3 Fireblocks، Fordefi، ZenGo و StarkWare برای رفع این آسیب پذیری کار می کند. او گفت، همچنین dYdX را از این مشکل آگاه کرد. در اواسط ماه مارس، این شرکت قصد دارد پروتکل خود را منبع باز کند تا به توسعه دهندگان برنامه کمک کند تا آسیب پذیری را برطرف کنند.
کوین تلگراف تلاش کرد با dYdX تماس بگیرد اما قبل از انتشار پاسخی دریافت نکرد.
Avihu Levy، رئیس بخش محصولات StarkWare، به Cointelegraph گفت که این شرکت از ابتکار Safeheron برای کمک به افزایش آگاهی در مورد این مشکل و کمک به ارائه راه حل تحسین می کند:
“خیلی خوب است که Safeheron پروتکلی منبع باز دارد که بر این چالش تمرکز دارد.[…]ما توسعهدهندگان را تشویق میکنیم تا مسائل امنیتی را که باید با هر یکپارچهسازی به وجود بیاید، مهم نیست که دامنه آن چقدر محدود است، بپردازند. این شامل چالشی است که در حال حاضر مورد بحث قرار گرفته است.
Starknet یک پروتکل لایه ۲ اتریوم است که از مدارک دانش صفر برای ایمن سازی شبکه استفاده می کند. اولین باری که کاربر به یک برنامه Starknet متصل می شود، با استفاده از کیف پول معمولی اتریوم خود یک کلید STARK دریافت می کند. این فرآیندی است که Safeheron می گوید منجر به لو رفتن کلیدهای کیف پول MPC می شود.
Starknet در ماه فوریه تلاش کرد تا امنیت و تمرکززدایی خود را با استفاده از منبع باز گواهی دهنده خود بهبود بخشد.
نویسنده: Tom Blackstone
