Visse multisignatur-lommebøker (multisig) kan utnyttes av Web3-apper som bruker Starknet-protokollen, ifølge en pressemelding fra 9. mars gitt til Cointelegraph av Multi-Party Computation (MPC) lommebokutvikler Safeheron. Sårbarheten påvirker MPC-lommebøker som samhandler med Starknet-apper som dYdX. I følge pressemeldingen jobber Safeheron med apputviklere for å lappe på sårbarheten.
I følge Safeherons protokolldokumentasjon brukes MPC-lommebøker noen ganger av finansinstitusjoner og Web3-apputviklere for å sikre kryptoaktiva de eier. I likhet med en standard multisig-lommebok, de krever flere signaturer for hver transaksjon. Men i motsetning til standard multisigs, krever de ikke spesialiserte smarte kontrakter som skal distribueres til blokkjeden, og de må heller ikke bygges inn i blokkjedens protokoll.
I stedet fungerer disse lommebøkene ved å generere "skår" av en privat nøkkel, hvor hvert skår holdes av én underskriver. Disse skårene må settes sammen utenfor kjeden for å produsere en signatur. På grunn av denne forskjellen kan MPC-lommebøker ha lavere gassavgifter enn andre typer multisigs og kan være blokkjedeagnostiske, ifølge dokumentene.
MPC-lommebøker er ofte sett på som sikrere enn enkeltsignaturlommebøker, siden en angriper vanligvis ikke kan hacke dem med mindre de kompromitterer mer enn én enhet.
Safeheron hevder imidlertid å ha oppdaget en sikkerhetsfeil som oppstår når disse lommebøkene samhandler med Starknet-baserte apper som dYdX og Fireblocks. Når disse appene «får en stark_key_signature og/eller api_key_signature», kan de «omgå sikkerhetsbeskyttelsen til private nøkler i MPC-lommebøker», sa selskapet i sin pressemelding. Dette kan tillate en angriper å legge inn bestillinger, utføre lag 2-overføringer, kansellere bestillinger og delta i andre uautoriserte transaksjoner.
Relatert: Ny "nullverdioverføring"-svindel er rettet mot Ethereum-brukere
Safeheron antydet at sårbarheten bare lekker brukernes private nøkler til lommebokleverandøren. Derfor, så lenge lommebokleverandøren selv ikke er uærlig og ikke har blitt overtatt av en angriper, bør brukerens midler være trygge. Den hevdet imidlertid at dette gjør brukeren avhengig av tillit til lommebokleverandøren. Dette kan tillate angripere å omgå lommebokens sikkerhet ved å angripe selve plattformen, som selskapet forklarte:
"Samspillet mellom MPC-lommebøker og dYdX eller lignende dApps [desentraliserte applikasjoner] som bruker signaturavledede nøkler undergraver prinsippet om selvforvaring for MPC-lommebokplattformer. Kunder kan kanskje omgå forhåndsdefinerte transaksjonspolicyer, og ansatte som har forlatt organisasjonen kan fortsatt beholde muligheten til å betjene dApp.»
Selskapet sa at det jobber med Web3-apputviklere Fireblocks, Fordefi, ZenGo og StarkWare for å lappe på sårbarheten. Det har også gjort dYdX oppmerksom på problemet, heter det. I midten av mars planlegger selskapet å gjøre protokollen åpen kildekode i et forsøk på å ytterligere hjelpe apputviklere med å reparere sårbarheten.
Cointelegraph har forsøkt å kontakte dYdX, men har ikke klart å få svar før publisering.
Avihu Levy, produktsjef hos StarkWare fortalte Cointelegraph at selskapet applauderer Safeherons forsøk på å øke bevisstheten om problemet og hjelpe til med å løse problemet, og sier:
"Det er flott at Safeheron åpner en protokoll som fokuserer på denne utfordringen[...]Vi oppfordrer utviklere til å ta tak i enhver sikkerhetsutfordring som skulle oppstå med enhver integrasjon, uansett hvor begrenset omfanget er. Dette inkluderer utfordringen som diskuteres nå.
Starknet er et lag 2 Ethereum-protokollen det bruker null-kunnskapsbevis for å sikre nettverket. Når en bruker først kobler til en Starknet-app, utleder de en STARK-nøkkel ved å bruke sin vanlige Ethereum-lommebok. Det er denne prosessen som Safeheron sier resulterer i lekke nøkler for MPC-lommebøker.
Starknet forsøkte å forbedre sin sikkerhet og desentralisering i februar med åpen kildekode sitt bevis.
Kilde: https://cointelegraph.com/news/multisig-wallets-vulnerable-to-exploitation-by-starknet-apps-says-developer-safeheron