Disa kuleta me shumë nënshkrime (multisig) mund të shfrytëzohen nga aplikacionet Web3 që përdorin protokollin Starknet, sipas një njoftimi për shtyp të datës 9 mars të ofruar për Cointelegraph nga zhvilluesi i portofolit Multi-Party Computation (MPC), Safeheron. Dobësia prek kuletat MPC që ndërveprojnë me aplikacionet Starknet si dYdX. Sipas njoftimit për shtyp, Safeheron po punon me zhvilluesit e aplikacioneve për të rregulluar cenueshmërinë.
Sipas dokumentacionit të protokollit të Safeheron, kuletat MPC ndonjëherë përdoren nga institucionet financiare dhe zhvilluesit e aplikacioneve Web3 për të siguruar asetet e kriptove që zotërojnë. Ngjashëm me një portofol standard multisig, ata kërkojnë nënshkrime të shumta për çdo transaksion. Por ndryshe nga multisigs standarde, ato nuk kërkojnë që kontrata të specializuara inteligjente të vendosen në blockchain, as nuk duhet të ndërtohen në protokollin e blockchain.
Në vend të kësaj, këto kuleta funksionojnë duke gjeneruar "copëza" të një çelësi privat, ku çdo copëz mbahet nga një nënshkrues. Këto copa duhet të bashkohen së bashku jashtë zinxhirit për të prodhuar një nënshkrim. Për shkak të këtij ndryshimi, kuletat MPC mund të kenë tarifa më të ulëta për gazin sesa llojet e tjera të multisigs dhe mund të jenë agnostike të blockchain, sipas dokumenteve.
Kuletat MPC janë shpesh shihet si më i sigurt se kuletat me nënshkrime të vetme, pasi një sulmues në përgjithësi nuk mund t'i hakojë nëse nuk rrezikon më shumë se një pajisje.
Megjithatë, Safeheron pretendon se ka zbuluar një të metë sigurie që lind kur këto kuleta ndërveprojnë me aplikacione të bazuara në Starknet si dYdX dhe Fireblocks. Kur këto aplikacione "marrin një nënshkrim stark_key_dhe/ose api_key_signature", ato mund të "anashkalojnë mbrojtjen e sigurisë së çelësave privatë në kuletat MPC", tha kompania në njoftimin e saj për shtyp. Kjo mund të lejojë një sulmues të vendosë porosi, të kryejë transferime në shtresën 2, të anulojë porositë dhe të përfshihet në transaksione të tjera të paautorizuara.
Related: Mashtrimi i ri i "transferimit me vlerë zero" po synon përdoruesit e Ethereum
Safeheron la të kuptohej se cenueshmëria nxjerr vetëm çelësat privatë të përdoruesve te ofruesi i portofolit. Prandaj, për sa kohë që vetë ofruesi i portofolit nuk është i pandershëm dhe nuk është marrë përsipër nga një sulmues, fondet e përdoruesit duhet të jenë të sigurta. Megjithatë, ai argumentoi se kjo e bën përdoruesin të varur nga besimi në ofruesin e portofolit. Kjo mund t'i lejojë sulmuesit të anashkalojnë sigurinë e portofolit duke sulmuar vetë platformën, siç shpjegoi kompania:
“Ndërveprimi ndërmjet kuletave MPC dhe dYdX ose dApps të ngjashme [aplikacionet e decentralizuara] që përdorin çelësa të përftuar nga nënshkrimi minon parimin e vetë-kujdesit për platformat e portofolit MPC. Klientët mund të jenë në gjendje të anashkalojnë politikat e paracaktuara të transaksionit dhe punonjësit që janë larguar nga organizata mund të ruajnë ende aftësinë për të operuar dApp.
Kompania tha se po punon me zhvilluesit e aplikacioneve Web3 Fireblocks, Fordefi, ZenGo dhe StarkWare për të rregulluar cenueshmërinë. Ai gjithashtu e ka bërë dYdX të vetëdijshëm për problemin, tha ai. Në mesin e marsit, kompania planifikon të bëjë protokollin e saj me burim të hapur në një përpjekje për të ndihmuar më tej zhvilluesit e aplikacioneve të rregullojnë cenueshmërinë.
Cointelegraph është përpjekur të kontaktojë dYdX, por nuk ka mundur të marrë një përgjigje përpara publikimit.
Avihu Levy, Shefi i Produkteve në StarkWare i tha Cointelegraph se kompania përshëndet përpjekjen e Safeheron për të rritur ndërgjegjësimin për këtë çështje dhe për të ndihmuar në sigurimin e një rregullimi, duke thënë:
“Është fantastike që Safeheron po ofron një protokoll me burim të hapur që fokusohet në këtë sfidë[…]Ne inkurajojmë zhvilluesit të adresojnë çdo sfidë sigurie që duhet të lindë me çdo integrim, sado i kufizuar të jetë fushëveprimi i tij. Kjo përfshin sfidën që po diskutohet tani.
Starknet është një shtresë 2 Protokolli Ethereum që përdor prova me njohuri zero për të siguruar rrjetin. Kur një përdorues lidhet për herë të parë me një aplikacion Starknet, ai nxjerr një çelës STARK duke përdorur portofolin e tij të zakonshëm Ethereum. Është ky proces që Safeheron thotë se po rezulton në rrjedhje të çelësave për kuletat MPC.
Starknet u përpoq të përmirësonte sigurinë dhe decentralizimin e tij në shkurt prover i saj me burim të hapur.
Burimi: https://cointelegraph.com/news/multisig-wallets-vulnerable-to-exploitation-by-starknet-apps-says-developer-safeheron