Ákveðin multisignature (multisig) veski er hægt að nýta með Web3 forritum sem nota Starknet siðareglur, samkvæmt fréttatilkynningu frá 9. mars sem Safeheron, Multi-Party Computation (MPC) veskisframleiðandinn, veitti Cointelegraph. Varnarleysið hefur áhrif á MPC veski sem hafa samskipti við Starknet öpp eins og dYdX. Samkvæmt fréttatilkynningunni vinnur Safeheron með forriturum forrita til að laga varnarleysið.
Samkvæmt samskiptareglum Safeheron eru MPC veski stundum notuð af fjármálastofnunum og Web3 apphönnuðum til að tryggja dulmálseignir sem þeir eiga. Svipað og venjulegt multisig veski, þeir krefjast margar undirskriftir fyrir hverja færslu. En ólíkt venjulegum multisigs, þurfa þeir ekki að dreifa sérhæfðum snjöllum samningum til blockchain, né þurfa þeir að vera innbyggðir í siðareglur blockchain.
Þess í stað virka þessi veski með því að búa til „brot“ af einkalykli, þar sem einn undirritari heldur hverri skarð. Þessi brot verða að vera tengd saman utan keðju til að framleiða undirskrift. Vegna þessa munar geta MPC veski haft lægri gasgjöld en aðrar gerðir af multisigs og geta verið blockchain agnostic, samkvæmt skjölunum.
MPC veski eru oft talin öruggari en veski með stakri undirskrift, þar sem árásarmaður getur almennt ekki hakkað þau nema þau komi í hættu á fleiri en einu tæki.
Hins vegar segist Safeheron hafa uppgötvað öryggisgalla sem kemur upp þegar þessi veski hafa samskipti við Starknet öpp eins og dYdX og Fireblocks. Þegar þessi forrit „fá sterk_key_signature og/eða api_key_signature“ geta þau „framhjá öryggisvernd einkalykla í MPC veski,“ sagði fyrirtækið í fréttatilkynningu sinni. Þetta getur gert árásarmanni kleift að leggja inn pantanir, framkvæma lag 2 millifærslur, hætta við pantanir og taka þátt í öðrum óheimilum viðskiptum.
Tengt: Nýtt „núllvirðisflutningur“ svindl beinist að Ethereum notendum
Safeheron gaf í skyn að varnarleysið leki aðeins einkalyklum notenda til veskisveitunnar. Þess vegna, svo lengi sem veskisveitandinn sjálfur er ekki óheiðarlegur og hefur ekki verið tekinn yfir af árásarmanni, ættu fjármunir notandans að vera öruggir. Hins vegar hélt það því fram að þetta geri notandann háðan trausti á veskisveitunni. Þetta getur gert árásarmönnum kleift að sniðganga öryggi vesksins með því að ráðast á pallinn sjálfan, eins og fyrirtækið útskýrði:
„Samspil MPC veskis og dYdX eða svipaðra dApps [dreifðra forrita] sem nota undirskriftarafleidda lykla grefur undan meginreglunni um sjálfsvörslu fyrir MPC veski palla. Viðskiptavinir gætu hugsanlega farið framhjá fyrirfram skilgreindum viðskiptastefnu og starfsmenn sem hafa yfirgefið fyrirtækið gætu samt haldið getu til að stjórna dApp.
Fyrirtækið sagði að það væri að vinna með Web3 forritara Fireblocks, Fordefi, ZenGo og StarkWare til að laga varnarleysið. Það hefur einnig gert dYdX meðvitað um vandamálið, sagði það. Um miðjan mars ætlar fyrirtækið að gera siðareglur sínar opinn uppspretta í viðleitni til að hjálpa forriturum að bæta við varnarleysið enn frekar.
Cointelegraph hefur reynt að hafa samband við dYdX, en hefur ekki tekist að fá svar fyrir birtingu.
Avihu Levy, yfirmaður vöru hjá StarkWare sagði við Cointelegraph að fyrirtækið fagni tilraun Safeheron til að vekja athygli á málinu og hjálpa til við að laga, þar sem fram kemur:
„Það er frábært að Safeheron er með opna uppspretta siðareglur sem einblínir á þessa áskorun[...]Við hvetjum forritara til að takast á við allar öryggisáskoranir sem ættu að koma upp við hvaða samþættingu sem er, þó takmarkað umfang hennar. Þetta felur í sér áskorunina sem verið er að ræða núna.
Starknet er lag 2 Ethereum siðareglur það notar núllþekkingarsönnun til að tryggja netið. Þegar notandi tengist fyrst Starknet appi, fá þeir STARK lykil með því að nota venjulega Ethereum veskið sitt. Það er þetta ferli sem Safeheron segir að leiði til leka lykla fyrir MPC veski.
Starknet reyndi að bæta öryggi sitt og valddreifingu í febrúar með því opin uppspretta sannprófun þess.
Heimild: https://cointelegraph.com/news/multisig-wallets-vulnerable-to-exploitation-by-starknet-apps-says-developer-safeheron