30. november, Guy Zyskind, administrerende direktør for privatliv smart kontrakt blockchain Secret Network, sa at utviklere hadde lappet en personvernrelatert sårbarhet og brukernes midler forblir sikre. I et dokument datert 29. november skrev Secret Network at brukere eller utviklere ikke krevde noen handling og at alle aktive noder ble oppgradert for å korrigere utnyttelsen 2. november.
2/ Du kan lese innlegget for de viktigste detaljene, men den viktige delen er at sårbarheten ble redusert og sannsynligvis ikke blitt utnyttet. Viktigst, midler var aldri i fare, fordi Secret med vilje ikke stoler på SGX for korrekthet – bare personvern.
— Guy Zyskind (@GuyZys) November 29, 2022
Hendelsesforløpet, avduket sent i går av Secret Network-utviklerne, begynte da en gruppe informatikkforskere med hvite hatter kontaktet Secret-teamet 3. oktober angående en nylig avslørt xAPIC (Advanced Programmable Interrupt Controller) arkitektonisk feil. Utnyttelsen tillot uinitialisert minnelesing i visse Software Guard Extension-aktiverte (SGX) Intel-prosessorer. Secret Network utnytter SGX-teknologi for å gi konfidensiell utførelse av smarte kontrakter.
As uttalte i papiret deres registrerte forskere først en server som en valideringsnode på Secret Network, selv når de ikke hadde tilstrekkelige midler til å kunne stole på til å aktivt validere transaksjoner. Registreringsprosessen lagret deretter en kopi av Secrets globale konsensusfrø inne i SGX-enklaven. Deretter, gjennom den nevnte CPU-feilen, hentet forskere konsensusfrøet til dens hemmelige node og dens private Intel Enhanced Privacy ID-nøkkel. Til slutt, med disse elementene, var de i stand til å bryte Secrets personvernbevarende funksjoner og dekryptere den interne tilstanden til alle smarte kontrakter på nettverket, så vel som de digitale eiendelene som er innebygd i dem.
Hemmelige utviklere verifiserte utnyttelsen 4. oktober og utarbeidet en plan for å korrigere sårbarheten sammen med forskere og Intel-ansatte. Først ble noder kraftig kastet ut av nettverket, og deres hemmelige nøkler slettet. Etter det kunne noder bare bli med i nettverket igjen hvis de lappet alle kjente sårbarheter, som ble fullført 2. november. "Med denne oppgraderingen er det nå umulig å montere xAPIC-angrep mot Secret Network-nettverket," skrev Secret Network-teamet.
I tillegg vil nye noder som slutter seg til nettverket være begrenset til kun maskinvare i serverklasse, for å begrense angrepsoverflaten som maskinvare i brukerklasse presenterer. Secret Network ble grunnlagt i 2015 og har for tiden en markedsverdi på 131 millioner dollar gjennom sitt opprinnelige token SCRT. Firmaet gikk sammen med direktør Quentin Tarantino for å lansere Secret NFTs i november i fjor.
Kilde: https://cointelegraph.com/news/secret-network-resolves-network-vulnerability-following-white-hat-disclosure