เทคโนโลยี

กระเป๋าเงิน Multisig เสี่ยงต่อการถูกโจมตีจากแอพ Starknet ผู้พัฒนา Safeheron กล่าว

03/09/2023
ข่าว Bitcoin Ethereum

multisignature (multisig) wallets บางอันสามารถถูกโจมตีโดยแอพ Web3 ที่ใช้โปรโตคอล Starknet ตามข่าวประชาสัมพันธ์ที่มอบให้กับ Cointelegraph โดย Safeheron ผู้พัฒนา wallet Multi-Party Computation (MPC) เมื่อวันที่ 9 มีนาคม ช่องโหว่นี้ส่งผลกระทบต่อกระเป๋าเงิน MPC ที่โต้ตอบกับแอพ Starknet เช่น dYdX ตามข่าวประชาสัมพันธ์ Safeheron กำลังทำงานร่วมกับนักพัฒนาแอพเพื่อแก้ไขช่องโหว่

ตามเอกสารโปรโตคอลของ Safeheron บางครั้ง MPC wallets จะถูกใช้โดยสถาบันการเงินและนักพัฒนาแอป Web3 เพื่อรักษาความปลอดภัยสินทรัพย์ crypto ที่พวกเขาเป็นเจ้าของ คล้ายกับกระเป๋าเงิน multisig มาตรฐาน ต้องการ หลายลายเซ็นสำหรับแต่ละธุรกรรม แต่แตกต่างจาก multisigs มาตรฐาน พวกเขาไม่จำเป็นต้องใช้สัญญาอัจฉริยะพิเศษเพื่อปรับใช้กับบล็อกเชน และไม่จำเป็นต้องสร้างขึ้นในโปรโตคอลของบล็อกเชน

กระเป๋าเงินเหล่านี้ทำงานโดยสร้าง "เศษ" ของคีย์ส่วนตัว โดยแต่ละเศษจะถูกเก็บไว้โดยผู้ลงนามคนเดียว เศษเหล่านี้ต้องเชื่อมต่อกันแบบออฟไลน์เพื่อสร้างลายเซ็น เนื่องจากความแตกต่างนี้ กระเป๋าเงิน MPC จึงสามารถมีค่าธรรมเนียมก๊าซที่ต่ำกว่า multisigs ประเภทอื่น ๆ และสามารถบล็อกเชนแบบไม่เชื่อเรื่องพระเจ้าได้ ตามเอกสาร

ภาพ

กระเป๋าเงิน MPC คือ มักถูกมองว่าปลอดภัยกว่า มากกว่ากระเป๋าเงินที่มีลายเซ็นเดียว เนื่องจากโดยทั่วไปแล้วผู้โจมตีจะไม่สามารถเจาะระบบได้ เว้นแต่ว่าพวกเขาจะประนีประนอมอุปกรณ์มากกว่าหนึ่งเครื่อง

อย่างไรก็ตาม Safeheron อ้างว่าได้ค้นพบข้อบกพร่องด้านความปลอดภัยที่เกิดขึ้นเมื่อกระเป๋าเงินเหล่านี้โต้ตอบกับแอพที่ใช้ Starknet เช่น dYdX และ Fireblocks เมื่อแอปเหล่านี้ “ได้รับ stark_key_signature และ/หรือ api_key_signature” แอปเหล่านี้สามารถ “ข้ามการป้องกันความปลอดภัยของคีย์ส่วนตัวในกระเป๋าเงิน MPC” บริษัทกล่าวในการแถลงข่าว วิธีนี้ทำให้ผู้โจมตีสามารถสั่งซื้อ ดำเนินการโอนเลเยอร์ 2 ยกเลิกคำสั่งซื้อ และมีส่วนร่วมในธุรกรรมที่ไม่ได้รับอนุญาตอื่นๆ

ที่เกี่ยวข้อง การหลอกลวง "การถ่ายโอนมูลค่าเป็นศูนย์" ใหม่กำลังกำหนดเป้าหมายผู้ใช้ Ethereum

Safeheron บอกเป็นนัยว่าช่องโหว่นี้จะทำให้คีย์ส่วนตัวของผู้ใช้รั่วไหลไปยังผู้ให้บริการกระเป๋าเงินเท่านั้น ดังนั้น ตราบใดที่ผู้ให้บริการกระเป๋าเงินเองไม่ทุจริตและไม่ได้ถูกยึดครองโดยผู้โจมตี เงินของผู้ใช้ก็ควรจะปลอดภัย อย่างไรก็ตาม เป็นที่ถกเถียงกันอยู่ว่าสิ่งนี้ทำให้ผู้ใช้ต้องพึ่งพาผู้ให้บริการกระเป๋าเงิน สิ่งนี้ทำให้ผู้โจมตีสามารถหลีกเลี่ยงความปลอดภัยของกระเป๋าเงินโดยการโจมตีตัวแพลตฟอร์มเอง ตามที่บริษัทได้อธิบายไว้:

“การทำงานร่วมกันระหว่าง MPC wallets และ dYdX หรือ dApps [แอพพลิเคชั่นที่กระจายอำนาจ] ที่คล้ายกันซึ่งใช้คีย์ที่ได้รับลายเซ็นเป็นการบ่อนทำลายหลักการของการดูแลตนเองสำหรับแพลตฟอร์ม MPC wallets ลูกค้าอาจสามารถข้ามนโยบายการทำธุรกรรมที่กำหนดไว้ล่วงหน้าได้ และพนักงานที่ออกจากองค์กรไปแล้วอาจยังคงความสามารถในการใช้งาน dApp ได้”

บริษัท กล่าวว่ากำลังทำงานร่วมกับนักพัฒนาแอพ Web3 Fireblocks, Fordefi, ZenGo และ StarkWare เพื่อแก้ไขช่องโหว่ นอกจากนี้ยังทำให้ dYdX ตระหนักถึงปัญหาด้วย ในช่วงกลางเดือนมีนาคม บริษัทวางแผนที่จะสร้างโปรโตคอลโอเพ่นซอร์สเพื่อช่วยนักพัฒนาแอปแก้ไขช่องโหว่เพิ่มเติม

Cointelegraph พยายามติดต่อ dYdX แต่ไม่ได้รับการตอบสนองก่อนที่จะเผยแพร่

Avihu Levy หัวหน้าฝ่ายผลิตภัณฑ์ของ StarkWare กล่าวกับ Cointelegraph ว่าบริษัทขอปรบมือให้กับความพยายามของ Safeheron ในการสร้างความตระหนักรู้เกี่ยวกับปัญหาและให้ความช่วยเหลือในการแก้ไข โดยระบุว่า:

 “เป็นเรื่องดีที่ Safeheron เป็นโอเพ่นซอร์สโปรโตคอลที่มุ่งเน้นที่ความท้าทายนี้[…]เราสนับสนุนให้นักพัฒนาจัดการกับความท้าทายด้านความปลอดภัยที่อาจเกิดขึ้นกับการผสานรวมใดๆ ไม่ว่าจะจำกัดขอบเขตก็ตาม ซึ่งรวมถึงความท้าทายที่กำลังกล่าวถึงในขณะนี้

สตาร์คเน็ต เป็นชั้นที่ 2 โปรโตคอล Ethereum นั้น ใช้การพิสูจน์ความรู้เป็นศูนย์ เพื่อรักษาความปลอดภัยเครือข่าย เมื่อผู้ใช้เชื่อมต่อกับแอป Starknet เป็นครั้งแรก พวกเขาจะได้รับคีย์ STARK โดยใช้กระเป๋าเงิน Ethereum ธรรมดา Safeheron กล่าวว่ากระบวนการนี้ส่งผลให้กุญแจรั่วไหลสำหรับกระเป๋าเงิน MPC

Starknet พยายามปรับปรุงความปลอดภัยและการกระจายอำนาจในเดือนกุมภาพันธ์โดย โอเพ่นซอร์สผู้พิสูจน์