Dompet berbilang tandatangan (multisig) tertentu boleh dieksploitasi oleh apl Web3 yang menggunakan protokol Starknet, menurut siaran akhbar 9 Mac yang diberikan kepada Cointelegraph oleh pembangun dompet Multi-Party Computation (MPC) Safeheron. Kerentanan mempengaruhi dompet MPC yang berinteraksi dengan aplikasi Starknet seperti dYdX. Menurut siaran akhbar, Safeheron sedang bekerjasama dengan pembangun aplikasi untuk menambal kelemahan tersebut.
Menurut dokumentasi protokol Safeheron, dompet MPC kadangkala digunakan oleh institusi kewangan dan pembangun aplikasi Web3 untuk mendapatkan aset kripto yang mereka miliki. Sama seperti dompet multisig standard, mereka memerlukan berbilang tandatangan untuk setiap transaksi. Tetapi tidak seperti multisig standard, mereka tidak memerlukan kontrak pintar khusus untuk digunakan ke blockchain, dan juga tidak perlu dibina ke dalam protokol blockchain.
Sebaliknya, dompet ini berfungsi dengan menjana "serpihan" kunci persendirian, dengan setiap serpihan dipegang oleh seorang penandatangan. Serpihan ini perlu dicantumkan di luar rantai untuk menghasilkan tandatangan. Disebabkan perbezaan ini, dompet MPC boleh mempunyai yuran gas yang lebih rendah daripada jenis multisig yang lain dan boleh menjadi agnostik blockchain, menurut dokumen.
Dompet MPC adalah selalunya dilihat lebih selamat daripada dompet tandatangan tunggal, kerana penyerang secara amnya tidak boleh menggodamnya melainkan mereka menjejaskan lebih daripada satu peranti.
Walau bagaimanapun, Safeheron mendakwa telah menemui kecacatan keselamatan yang timbul apabila dompet ini berinteraksi dengan aplikasi berasaskan Starknet seperti dYdX dan Fireblocks. Apabila apl ini "mendapatkan tandatangan_kunci_kunci dan/atau tandatangan_kunci_kunci", mereka boleh "memintas perlindungan keselamatan kunci peribadi dalam dompet MPC," kata syarikat itu dalam kenyataan akhbarnya. Ini boleh membenarkan penyerang membuat pesanan, melakukan pemindahan lapisan 2, membatalkan pesanan dan terlibat dalam urus niaga lain yang tidak dibenarkan.
Berkaitan: Penipuan "pemindahan nilai sifar" baharu menyasarkan pengguna Ethereum
Safeheron menyiratkan bahawa kelemahan hanya membocorkan kunci peribadi pengguna kepada pembekal dompet. Oleh itu, selagi penyedia dompet itu sendiri tidak jujur dan belum diambil alih oleh penyerang, dana pengguna harus selamat. Walau bagaimanapun, ia berhujah bahawa ini menjadikan pengguna bergantung pada kepercayaan kepada pembekal dompet. Ini boleh membenarkan penyerang untuk memintas keselamatan dompet dengan menyerang platform itu sendiri, seperti yang dijelaskan oleh syarikat:
“Interaksi antara dompet MPC dan dYdX atau dApps serupa [aplikasi terdesentralisasi] yang menggunakan kunci terbitan tandatangan melemahkan prinsip penjagaan diri untuk platform dompet MPC. Pelanggan mungkin boleh memintas dasar transaksi yang telah ditetapkan dan pekerja yang telah meninggalkan organisasi mungkin masih mengekalkan keupayaan untuk mengendalikan dApp."
Syarikat itu berkata bahawa ia sedang bekerjasama dengan pembangun aplikasi Web3 Fireblocks, Fordefi, ZenGo, dan StarkWare untuk menambal kelemahan itu. Ia juga telah menyedarkan dYdX tentang masalah itu, katanya. Pada pertengahan Mac, syarikat itu merancang untuk menjadikan protokolnya sumber terbuka dalam usaha untuk membantu lagi pembangun aplikasi menambal kelemahan itu.
Cointelegraph telah cuba menghubungi dYdX, tetapi tidak mendapat jawapan sebelum diterbitkan.
Avihu Levy, Ketua Produk di StarkWare memberitahu Cointelegraph bahawa syarikat itu memuji percubaan Safeheron untuk meningkatkan kesedaran tentang isu itu dan membantu menyediakan pembetulan, dengan menyatakan:
“Sangat bagus Safeheron menyediakan protokol sumber terbuka yang memfokuskan pada cabaran ini[…]Kami menggalakkan pembangun menangani sebarang cabaran keselamatan yang sepatutnya timbul dengan sebarang penyepaduan, walau bagaimanapun terhad skopnya. Ini termasuk cabaran yang sedang dibincangkan sekarang.
Starknet ialah lapisan 2 Protokol Ethereum itu menggunakan bukti pengetahuan sifar untuk mengamankan rangkaian. Apabila pengguna mula-mula menyambung ke aplikasi Starknet, mereka memperoleh kunci STARK menggunakan dompet Ethereum biasa mereka. Proses inilah yang dikatakan oleh Safeheron mengakibatkan kunci bocor untuk dompet MPC.
Starknet cuba meningkatkan keselamatan dan desentralisasinya pada Februari oleh sumber terbuka provernya.
Sumber: https://cointelegraph.com/news/multisig-wallets-vulnerable-to-exploitation-by-starknet-apps-says-developer-safeheron