Tech

Multisig դրամապանակները խոցելի են Starknet հավելվածների շահագործման համար, ասում է Safeheron ծրագրավորողը

03/09/2023
Bitcoin Ethereum Նորություններ

Որոշ բազմաստորագրային (multisig) դրամապանակներ կարող են շահագործվել Web3 հավելվածների կողմից, որոնք օգտագործում են Starknet արձանագրությունը, ասվում է մարտի 9-ի մամուլի հաղորդագրության մեջ, որը տրամադրվել է Cointelegraph-ին Multi-Party Computation (MPC) դրամապանակի մշակող Safeheron-ի կողմից: Խոցելիությունը ազդում է MPC դրամապանակների վրա, որոնք փոխազդում են Starknet հավելվածների հետ, ինչպիսիք են dYdX-ը: Մամուլի հաղորդագրության համաձայն՝ Safeheron-ն աշխատում է հավելվածների մշակողների հետ՝ խոցելիությունը վերացնելու համար:

Համաձայն Safeheron-ի արձանագրային փաստաթղթերի՝ MPC դրամապանակները երբեմն օգտագործվում են ֆինանսական հաստատությունների և Web3 հավելվածների մշակողների կողմից՝ իրենց պատկանող կրիպտո ակտիվներն ապահովելու համար: Նրանք, ինչպես ստանդարտ բազմասիգ դրամապանակը, պահանջել մի քանի ստորագրություններ յուրաքանչյուր գործարքի համար: Բայց, ի տարբերություն ստանդարտ մուլտիսիգերի, դրանք չեն պահանջում մասնագիտացված խելացի պայմանագրեր, որոնք պետք է տեղակայվեն բլոկչեյնում, ոչ էլ պետք է դրանք ներկառուցվեն բլոկչեյնի արձանագրության մեջ:

Փոխարենը, այս դրամապանակներն աշխատում են մասնավոր բանալու «բեկորներ» ստեղծելով, որոնցից յուրաքանչյուրը պահվում է մեկ ստորագրողի կողմից: Այս բեկորները պետք է իրար միացվեն շղթայից դուրս՝ ստորագրություն ստանալու համար: Այս տարբերության պատճառով MPC դրամապանակները կարող են ունենալ գազի ավելի ցածր վճարներ, քան այլ տեսակի մուլտիսիգերը և կարող են լինել բլոկչեյն ագնոստիկ, համաձայն փաստաթղթերի:

պատկեր

MPC դրամապանակներն են հաճախ դիտվում է որպես ավելի ապահով քան միայնակ ստորագրությամբ դրամապանակները, քանի որ հարձակվողը, որպես կանոն, չի կարող կոտրել դրանք, քանի դեռ չի վնասել մեկից ավելի սարքերին:

Այնուամենայնիվ, Safeheron-ը պնդում է, որ հայտնաբերել է անվտանգության թերություն, որն առաջանում է, երբ այս դրամապանակները փոխազդում են Starknet-ի վրա հիմնված հավելվածների հետ, ինչպիսիք են dYdX-ը և Fireblocks-ը: Երբ այս հավելվածները «ստանում են stark_key_signature և/կամ api_key_signature», նրանք կարող են «շրջանցել MPC դրամապանակներում մասնավոր բանալիների անվտանգության պաշտպանությունը», ասվում է ընկերության մամուլի հաղորդագրության մեջ: Սա կարող է հարձակվողին թույլ տալ պատվերներ տեղադրել, կատարել 2-րդ շերտի փոխանցումներ, չեղարկել պատվերները և ներգրավվել այլ չարտոնված գործարքների մեջ:

Related: Նոր «զրոյական արժեքի փոխանցում» խաբեությունն ուղղված է Ethereum-ի օգտատերերին

Safeheron-ը ենթադրում էր, որ խոցելիությունը միայն օգտատերերի անձնական բանալիների արտահոսք է տալիս դրամապանակի մատակարարին: Հետևաբար, քանի դեռ դրամապանակի մատակարարն ինքը անազնիվ չէ և չի տիրացել հարձակվողին, օգտագործողի միջոցները պետք է ապահով լինեն: Այնուամենայնիվ, այն պնդում էր, որ դա օգտատիրոջը կախված է դարձնում դրամապանակի մատակարարի նկատմամբ վստահությունից: Սա կարող է հարձակվողներին թույլ տալ շրջանցել դրամապանակի անվտանգությունը՝ հարձակվելով հենց հարթակի վրա, ինչպես բացատրել է ընկերությունը.

«MPC դրամապանակների և dYdX-ի կամ համանման dApps-ի [ապակենտրոնացված հավելվածների] միջև փոխազդեցությունը, որոնք օգտագործում են ստորագրությունից ստացված բանալիներ, խաթարում է MPC դրամապանակների հարթակների ինքնապահպանման սկզբունքը: Հաճախորդները կարող են շրջանցել նախապես սահմանված գործարքների քաղաքականությունը, իսկ կազմակերպությունը լքած աշխատակիցները դեռ կարող են պահպանել dApp-ը գործարկելու հնարավորությունը»:

Ընկերությունը հայտնել է, որ աշխատում է Web3 հավելվածների մշակողների հետ՝ Fireblocks, Fordefi, ZenGo և StarkWare՝ խոցելիությունը վերացնելու համար: Այն նաև տեղեկացրեց dYdX-ին խնդրի մասին, ասվում է: Մարտի կեսերին ընկերությունը նախատեսում է իր արձանագրությունը դարձնել բաց կոդով` փորձելով հետագայում օգնել հավելվածների մշակողներին վերացնել խոցելիությունը:

Cointelegraph-ը փորձել է կապ հաստատել dYdX-ի հետ, սակայն մինչ հրապարակումը չի կարողացել պատասխան ստանալ:

StarkWare-ի արտադրանքի ղեկավար Ավիհու Լևին Cointelegraph-ին ասել է, որ ընկերությունը ողջունում է Safeheron-ի փորձը՝ բարձրացնել խնդրի վերաբերյալ իրազեկությունը և օգնել շտկել՝ նշելով.

 «Հրաշալի է, որ Safeheron-ը բաց կոդով արձանագրություն է տրամադրում, որը կենտրոնանում է այս մարտահրավերի վրա[…]Մենք խրախուսում ենք մշակողներին դիմակայել անվտանգության ցանկացած մարտահրավեր, որը պետք է առաջանա ցանկացած ինտեգրման դեպքում, որքան էլ սահմանափակ լինի դրա շրջանակը: Սա ներառում է այժմ քննարկվող մարտահրավերը:

Starknet շերտ 2 է Ethereum արձանագրությունը, որը օգտագործում է զրոյական գիտելիքների ապացույցներ ապահովել ցանցը: Երբ օգտատերը առաջին անգամ միանում է Starknet հավելվածին, նրանք ստանում են STARK բանալի՝ օգտագործելով իրենց սովորական Ethereum դրամապանակը: Հենց այս գործընթացն է, որ Safeheron-ն ասում է, որ հանգեցնում է MPC դրամապանակների բանալիների արտահոսքի:

Փետրվարին Starknet-ը փորձեց բարելավել իր անվտանգությունն ու ապակենտրոնացումը բաց կոդով իր պրովեր