Ang ilang mga multisignature (multisig) na wallet ay maaaring gamitin ng mga Web3 app na gumagamit ng Starknet protocol, ayon sa isang press release noong Marso 9 na ibinigay sa Cointelegraph ng Multi-Party Computation (MPC) wallet developer na Safeheron. Ang kahinaan ay nakakaapekto sa mga wallet ng MPC na nakikipag-ugnayan sa mga Starknet app gaya ng dYdX. Ayon sa press release, nakikipagtulungan si Safeheron sa mga developer ng app upang i-patch ang kahinaan.
Ayon sa dokumentasyon ng protocol ng Safeheron, ang mga wallet ng MPC ay minsan ginagamit ng mga institusyong pampinansyal at mga developer ng Web3 app upang ma-secure ang mga crypto asset na pagmamay-ari nila. Katulad ng isang karaniwang multisig wallet, sila mangailangan maraming pirma para sa bawat transaksyon. Ngunit hindi tulad ng mga karaniwang multisig, hindi sila nangangailangan ng mga dalubhasang matalinong kontrata na i-deploy sa blockchain, at hindi rin sila kailangang itayo sa protocol ng blockchain.
Sa halip, gumagana ang mga wallet na ito sa pamamagitan ng pagbuo ng "mga shards" ng isang pribadong key, na ang bawat shard ay hawak ng isang signer. Ang mga shards na ito ay kailangang pagsama-samahin off-chain upang makagawa ng isang lagda. Dahil sa pagkakaibang ito, ang mga wallet ng MPC ay maaaring magkaroon ng mas mababang mga bayarin sa gas kaysa sa iba pang mga uri ng multisig at maaaring maging blockchain agnostic, ayon sa mga doc.
Ang mga wallet ng MPC ay madalas na nakikita bilang mas ligtas kaysa sa mga single signature wallet, dahil hindi maaaring i-hack ng isang attacker ang mga ito sa pangkalahatan maliban kung ikompromiso nila ang higit sa isang device.
Gayunpaman, sinasabi ng Safeheron na nakatuklas ng isang depekto sa seguridad na lumitaw kapag ang mga wallet na ito ay nakikipag-ugnayan sa mga Starknet-based na app gaya ng dYdX at Fireblocks. Kapag ang mga app na ito ay "makakuha ng stark_key_signature at/o api_key_signature," maaari nilang "bypass ang proteksyon ng seguridad ng mga pribadong key sa mga wallet ng MPC," sabi ng kumpanya sa press release nito. Maaari nitong payagan ang isang attacker na mag-order, magsagawa ng layer 2 transfers, magkansela ng mga order, at makisali sa iba pang hindi awtorisadong transaksyon.
Nauugnay: Ang bagong "zero-value transfer" na scam ay nagta-target sa mga gumagamit ng Ethereum
Ipinahiwatig ng Safeheron na ang kahinaan ay naglalabas lamang ng mga pribadong key ng mga user sa provider ng wallet. Samakatuwid, hangga't ang mismong tagapagbigay ng wallet ay hindi hindi tapat at hindi nakuha ng isang umaatake, dapat na ligtas ang mga pondo ng gumagamit. Gayunpaman, nangatuwiran ito na ginagawa nitong umaasa ang user sa tiwala sa provider ng wallet. Maaari nitong payagan ang mga umaatake na iwasan ang seguridad ng wallet sa pamamagitan ng pag-atake sa mismong platform, gaya ng ipinaliwanag ng kumpanya:
“Ang pakikipag-ugnayan sa pagitan ng mga wallet ng MPC at dYdX o mga katulad na dApps [mga desentralisadong aplikasyon] na gumagamit ng mga key na hinango ng lagda ay pinapahina ang prinsipyo ng self-custody para sa mga platform ng wallet ng MPC. Maaaring ma-bypass ng mga customer ang paunang natukoy na mga patakaran sa transaksyon, at ang mga empleyadong umalis sa organisasyon ay maaari pa ring mapanatili ang kakayahang patakbuhin ang dApp."
Sinabi ng kumpanya na nakikipagtulungan ito sa mga developer ng Web3 app na Fireblocks, Fordefi, ZenGo, at StarkWare upang i-patch ang kahinaan. Ipinaalam din nito ang dYdX sa problema, sabi nito. Sa kalagitnaan ng Marso, plano ng kumpanya na gawing open source ang protocol nito sa pagsisikap na higit pang matulungan ang mga developer ng app na i-patch ang kahinaan.
Sinubukan ng Cointelegraph na makipag-ugnayan sa dYdX, ngunit hindi nakakuha ng tugon bago ilathala.
Sinabi ni Avihu Levy, Pinuno ng Produkto sa StarkWare sa Cointelegraph na pinalakpakan ng kumpanya ang pagtatangka ni Safeheron na itaas ang kamalayan tungkol sa isyu at tumulong na magbigay ng pag-aayos, na nagsasabi:
“Napakaganda na ang Safeheron ay open-sourcing ng isang protocol na tumutuon sa hamong ito[…]Hinihikayat namin ang mga developer na tugunan ang anumang hamon sa seguridad na dapat na lumitaw sa anumang pagsasama, gayunpaman limitado ang saklaw nito. Kabilang dito ang hamon na tinatalakay ngayon.
Starknet ay isang layer 2 Ethereum protocol na gumagamit ng zero-knowledge proofs para ma-secure ang network. Kapag unang kumonekta ang isang user sa isang Starknet app, nakakakuha sila ng STARK key gamit ang kanilang ordinaryong Ethereum wallet. Ito ang prosesong ito na sinabi ni Safeheron na nagreresulta sa mga leaked key para sa mga wallet ng MPC.
Tinangka ng Starknet na pahusayin ang seguridad at desentralisasyon nito noong Pebrero sa pamamagitan ng open-sourcing nito prover.
Pinagmulan: https://cointelegraph.com/news/multisig-wallets-vulnerable-to-exploitation-by-starknet-apps-says-developer-safeheron