بر اساس یک بیانیه مطبوعاتی در 9 مارس که توسط توسعه دهنده کیف پول محاسبات چند جانبه (MPC) Safeheron در اختیار Cointelegraph قرار گرفت، برخی از کیف پول های چند امضایی (multisig) می توانند توسط برنامه های Web3 که از پروتکل Starknet استفاده می کنند مورد سوء استفاده قرار گیرند. این آسیبپذیری بر کیف پولهای MPC که با برنامههای Starknet مانند dYdX تعامل دارند، تأثیر میگذارد. طبق بیانیه مطبوعاتی، Safeheron در حال کار با توسعه دهندگان برنامه برای اصلاح این آسیب پذیری است.
طبق اسناد پروتکل Safeheron، کیف پول MPC گاهی اوقات توسط مؤسسات مالی و توسعه دهندگان برنامه Web3 برای ایمن سازی دارایی های رمزنگاری شده خود استفاده می شود. آنها شبیه به یک کیف پول استاندارد multisig هستند نیاز چندین امضا برای هر معامله اما بر خلاف مولتی سیگ های استاندارد، آنها نیازی به قراردادهای هوشمند تخصصی برای استقرار در بلاک چین ندارند و همچنین نباید در پروتکل بلاک چین تعبیه شوند.
در عوض، این کیف پولها با تولید «تکههای» یک کلید خصوصی کار میکنند که هر قطعه توسط یک امضاکننده نگهداری میشود. این خرده ها باید خارج از زنجیره به یکدیگر متصل شوند تا یک امضا تولید شود. به دلیل این تفاوت، کیفپولهای MPC میتوانند هزینه گاز کمتری نسبت به سایر انواع مولتی سیگ داشته باشند و طبق اسناد میتوانند آگنوستیک بلاک چین باشند.
کیف پول MPC هستند اغلب به عنوان امن تر دیده می شود از کیف پول های تک امضایی، زیرا مهاجم معمولا نمی تواند آنها را هک کند مگر اینکه بیش از یک دستگاه را در معرض خطر قرار دهد.
با این حال، Safeheron ادعا میکند که یک نقص امنیتی را کشف کرده است که هنگام تعامل این کیف پولها با برنامههای مبتنی بر Starknet مانند dYdX و Fireblocks ایجاد میشود. این شرکت در بیانیه مطبوعاتی خود گفت: زمانی که این برنامهها «Stark_key_signature و/یا api_key_signature» را دریافت میکنند، میتوانند «حفاظت امنیتی کلیدهای خصوصی را در کیف پولهای MPC دور بزنند». این می تواند به مهاجم اجازه دهد تا سفارش دهد، انتقال لایه 2 را انجام دهد، سفارشات را لغو کند و در سایر تراکنش های غیرمجاز شرکت کند.
مربوط: کلاهبرداری جدید «انتقال ارزش صفر» کاربران اتریوم را هدف قرار داده است
Safeheron اشاره کرد که این آسیبپذیری فقط کلیدهای خصوصی کاربران را به ارائهدهنده کیف پول نشت میدهد. بنابراین، تا زمانی که خود ارائهدهنده کیف پول ناصادق نباشد و توسط مهاجم تصرف نشده باشد، وجوه کاربر باید امن باشد. با این حال، استدلال شد که این باعث می شود کاربر به اعتماد به ارائه دهنده کیف پول وابسته باشد. این می تواند به مهاجمان اجازه دهد تا با حمله به خود پلتفرم، امنیت کیف پول را دور بزنند، همانطور که شرکت توضیح داد:
“تعامل بین کیف پول MPC و dYdX یا dApp های مشابه [decentralized applications] استفاده از کلیدهای مشتق شده از امضا، اصل خودسرپرستی را برای پلتفرم های کیف پول MPC تضعیف می کند. مشتریان ممکن است بتوانند سیاستهای تراکنشهای از پیش تعریفشده را دور بزنند، و کارمندانی که سازمان را ترک کردهاند ممکن است همچنان توانایی اجرای dApp را حفظ کنند.
این شرکت گفت که با توسعه دهندگان برنامه Web3 Fireblocks، Fordefi، ZenGo و StarkWare برای اصلاح این آسیب پذیری کار می کند. همچنین dYdX را از این مشکل آگاه کرده است. در اواسط ماه مارس، این شرکت قصد دارد پروتکل خود را منبع باز کند تا به توسعه دهندگان اپلیکیشن کمک کند تا این آسیب پذیری را اصلاح کنند.
کوین تلگراف تلاش کرده است با dYdX تماس بگیرد، اما قبل از انتشار نتوانسته است پاسخی دریافت کند.
Avihu Levy، رئیس محصولات StarkWare به Cointelegraph گفت که این شرکت تلاش Safeheron برای افزایش آگاهی در مورد این مشکل و کمک به ارائه یک راه حل را تحسین می کند و اظهار داشت:
“خیلی خوب است که Safeheron پروتکلی با منبع باز با تمرکز بر این چالش ارائه می دهد[…]ما توسعهدهندگان را تشویق میکنیم تا به هر چالش امنیتی که باید با هر یکپارچهسازی به وجود آید، هر چند دامنه آن محدود باشد، رسیدگی کنند. این شامل چالشی است که اکنون مورد بحث قرار گرفته است.
استارک نت یک لایه 2 است پروتکل اتریوم که از اثبات های دانش صفر استفاده می کند برای ایمن سازی شبکه هنگامی که کاربر برای اولین بار به یک برنامه Starknet متصل می شود، با استفاده از کیف پول معمولی اتریوم خود یک کلید STARK استخراج می کند. این فرآیندی است که Safeheron می گوید منجر به لو رفتن کلیدهای کیف پول MPC می شود.
Starknet تلاش کرد تا امنیت و تمرکززدایی خود را در ماه فوریه بهبود بخشد منبع باز اثبات کننده آن است.
