3 наурызда Cointelegraph-қа Multi-Party Computation (MPC) әмиян әзірлеушісі Safeheron ұсынған пресс-релизге сәйкес, белгілі көп қолтаңбалы (мультисигациялық) әмияндарды Starknet протоколын пайдаланатын Web9 қолданбалары пайдалана алады. Осалдық dYdX сияқты Starknet қолданбаларымен әрекеттесетін MPC әмияндарына әсер етеді. Баспасөз хабарламасына сәйкес, Safeheron осалдықты түзету үшін қолданба әзірлеушілерімен жұмыс істейді.
Safeheron протоколының құжаттамасына сәйкес, MPC әмияндарын кейде қаржы институттары мен Web3 қолданбасын әзірлеушілер өздеріне тиесілі крипто активтерін қорғау үшін пайдаланады. Стандартты мультисиг әмиянына ұқсас, олар талап әр транзакция үшін бірнеше қолтаңба. Бірақ стандартты мультисигтерден айырмашылығы, олар блокчейнге орналастыру үшін арнайы смарт-келісімшарттарды қажет етпейді және блокчейннің хаттамасына енгізілмейді.
Оның орнына, бұл әмияндар жеке кілттің «үзінділерін» жасау арқылы жұмыс істейді, әрбір сынықтарды бір қол қоюшы ұстайды. Қолтаңба жасау үшін бұл сынықтар тізбектен тыс біріктірілуі керек. Осы айырмашылыққа байланысты MPC әмияндары мультисигтердің басқа түрлеріне қарағанда газ ақысы төмен болуы мүмкін және құжаттарға сәйкес блокчейн агностикалық болуы мүмкін.
MPC әмияндары жиі қауіпсіз деп саналады жалғыз қолтаңба әмияндарына қарағанда, өйткені шабуылдаушы әдетте бірнеше құрылғыны бұзбайынша бұза алмайды.
Дегенмен, Safeheron бұл әмияндар dYdX және Fireblocks сияқты Starknet негізіндегі қолданбалармен әрекеттескенде туындайтын қауіпсіздік ақауын тапты деп мәлімдейді. Бұл қолданбалар «stark_key_signature және/немесе api_key_signature» алған кезде, олар «MPC әмияндарындағы жеке кілттердің қауіпсіздік қорғанысын айналып өтуі мүмкін», - делінген компанияның баспасөз хабарламасында. Бұл шабуылдаушыға тапсырыстарды орналастыруға, 2-деңгейдегі тасымалдауларды орындауға, тапсырыстардан бас тартуға және басқа рұқсат етілмеген транзакцияларға қатысуға мүмкіндік береді.
Қатысты: Жаңа «нөлдік аударым» алаяқтығы Ethereum пайдаланушыларына бағытталған
Safeheron осалдық пайдаланушылардың жеке кілттерін әмиян провайдеріне ғана жіберетінін айтты. Сондықтан, әмиян провайдерінің өзі адал емес және шабуылдаушы басып алмағанша, пайдаланушының қаражаты қауіпсіз болуы керек. Дегенмен, бұл пайдаланушыны әмиян провайдеріне деген сенімге тәуелді етеді деп сендірді. Бұл шабуылдаушыларға платформаның өзіне шабуыл жасау арқылы әмиянның қауіпсіздігін айналып өтуге мүмкіндік береді, себебі компания түсіндірді:
«MPC әмияндары мен dYdX немесе қолтаңбадан алынған кілттерді пайдаланатын ұқсас dApps [орталықтандырылмаған қолданбалар] арасындағы өзара әрекеттесу MPC әмиян платформалары үшін өзін-өзі сақтау принципін бұзады. Тұтынушылар алдын ала анықталған транзакция саясаттарын айналып өтуі мүмкін және ұйымнан кеткен қызметкерлер dApp қолданбасын басқару мүмкіндігін сақтай алады.»
Компания осалдықты жою үшін Web3 қолданбасын жасаушылар Fireblocks, Fordefi, ZenGo және StarkWare-мен жұмыс істеп жатқанын айтты. Ол сонымен қатар dYdX-ті мәселе туралы хабардар етті, деді ол. Наурыз айының ортасында компания қосымша әзірлеушілерге осалдықты түзетуге көмектесу үшін өзінің протоколын ашық бастапқы кодқа айналдыруды жоспарлап отыр.
Cointelegraph dYdX байланысқа шығуға әрекеттенді, бірақ жарияланғанға дейін жауап ала алмады.
StarkWare өнім бөлімінің басшысы Авиху Леви Cointelegraph-қа компания Safeheron-ның мәселе туралы хабардар болу әрекетін құптайтынын және оны түзетуге көмектесетінін айтты:
«Safeheron-ның осы мәселеге бағытталған хаттаманың бастапқы көзін ашқаны өте жақсы[…]Біз әзірлеушілерді кез келген интеграция кезінде туындауы мүмкін кез келген қауіпсіздік мәселесін шешуге шақырамыз, бірақ оның ауқымы шектеулі. Бұған қазір талқыланып жатқан мәселе де кіреді.
Starknet 2 қабат болып табылады Ethereum протоколы нөлдік білімнің дәлелдемелерін пайдаланады желіні қорғау үшін. Пайдаланушы Starknet қолданбасына алғаш рет қосылғанда, олар қарапайым Ethereum әмиянының көмегімен STARK кілтін алады. Дәл осы процесс Safeheron MPC әмияндары үшін кілттердің ағып кетуіне әкелді дейді.
Starknet ақпан айында қауіпсіздігі мен орталықсыздандыруды жақсартуға тырысты оның проверін ашық кодтау.
Дереккөз: https://cointelegraph.com/news/multisig-wallets-vulnerable-to-exploitation-by-starknet-apps-says-developer-safeheron