Vissa plånböcker med flera signaturer (multisig) kan utnyttjas av Web3-appar som använder Starknet-protokollet, enligt ett pressmeddelande från den 9 mars till Cointelegraph av Multi-Party Computation (MPC) plånboksutvecklaren Safeheron. Sårbarheten påverkar MPC-plånböcker som interagerar med Starknet-appar som dYdX. Enligt pressmeddelandet arbetar Safeheron med apputvecklare för att korrigera sårbarheten.
Enligt Safeherons protokolldokumentation används MPC-plånböcker ibland av finansiella institutioner och Web3-apputvecklare för att säkra kryptotillgångar de äger. I likhet med en vanlig multisig-plånbok, de kräver flera signaturer för varje transaktion. Men till skillnad från vanliga multisigs kräver de inte specialiserade smarta kontrakt för att distribueras till blockkedjan, och de behöver inte heller byggas in i blockkedjans protokoll.
Istället fungerar dessa plånböcker genom att generera "skärvor" av en privat nyckel, där varje skärva hålls av en undertecknare. Dessa skärvor måste fogas samman utanför kedjan för att skapa en signatur. På grund av denna skillnad kan MPC-plånböcker ha lägre gasavgifter än andra typer av multisigs och kan vara blockkedjeagnostiska, enligt dokumenten.
MPC-plånböcker är ofta ses som säkrare än enstaka signaturplånböcker, eftersom en angripare i allmänhet inte kan hacka dem om de inte äventyrar mer än en enhet.
Safeheron säger sig dock ha upptäckt ett säkerhetsbrist som uppstår när dessa plånböcker interagerar med Starknet-baserade appar som dYdX och Fireblocks. När dessa appar "får en stark_key_signature och/eller api_key_signature" kan de "förbigå säkerhetsskyddet för privata nycklar i MPC-plånböcker", säger företaget i sitt pressmeddelande. Detta kan tillåta en angripare att lägga beställningar, utföra lager 2-överföringar, avbryta beställningar och delta i andra obehöriga transaktioner.
Relaterat: Ny bluff med "nollvärdeöverföring" riktar sig till Ethereum-användare
Safeheron antydde att sårbarheten endast läcker användarnas privata nycklar till plånboksleverantören. Därför, så länge som plånboksleverantören själv inte är oärlig och inte har tagits över av en angripare, bör användarens pengar vara säkra. Den hävdade dock att detta gör användaren beroende av förtroende för plånboksleverantören. Detta kan tillåta angripare att kringgå plånbokens säkerhet genom att attackera själva plattformen, som företaget förklarade:
"Interaktionen mellan MPC-plånböcker och dYdX eller liknande dApps [decentraliserade applikationer] som använder signaturhärledda nycklar undergräver principen om självvård för MPC-plånboksplattformar. Kunder kanske kan kringgå fördefinierade transaktionspolicyer, och anställda som har lämnat organisationen kan fortfarande behålla förmågan att använda dApp."
Företaget sa att det arbetar med Web3-apputvecklarna Fireblocks, Fordefi, ZenGo och StarkWare för att korrigera sårbarheten. Det har också gjort dYdX medveten om problemet, stod det. I mitten av mars planerar företaget att göra sitt protokoll till öppen källkod i ett försök att ytterligare hjälpa apputvecklare att korrigera sårbarheten.
Cointelegraph har försökt kontakta dYdX, men har inte kunnat få något svar innan publiceringen.
Avihu Levy, produktchef på StarkWare sa till Cointelegraph att företaget applåderar Safeherons försök att öka medvetenheten om problemet och hjälpa till med att fixa, och säger:
"Det är fantastiskt att Safeheron tillhandahåller ett protokoll med öppen källkod som fokuserar på denna utmaning[...]Vi uppmuntrar utvecklare att ta itu med alla säkerhetsutmaningar som skulle uppstå med en integration, oavsett omfattningen. Detta inkluderar utmaningen som diskuteras nu.
Starknet är ett lager 2 Ethereum-protokollet det använder nollkunskapsbevis för att säkra nätverket. När en användare först ansluter till en Starknet-app får de en STARK-nyckel med hjälp av sin vanliga Ethereum-plånbok. Det är denna process som Safeheron säger leder till läckta nycklar för MPC-plånböcker.
Starknet försökte förbättra sin säkerhet och decentralisering i februari med öppen källkod dess bevis.
Källa: https://cointelegraph.com/news/multisig-wallets-vulnerable-to-exploitation-by-starknet-apps-says-developer-safeheron