Определенные кошельки с мультизагентом (Multisig) могут использоваться приложениями Web3, которые используют протокол Starknet, согласно пресс-релизу от 9 марта, предоставленным Cointelegraph Multi-Garty Relocation Developer Developer Safeheron. Уязвимость влияет на кошельки MPC, которые взаимодействуют с приложениями Starknet, такими как DYDX. Согласно пресс -релизу, Safeheron работает с разработчиками приложений, чтобы исправить уязвимость.
В соответствии с документацией по протоколу Safeheron, кошельки MPC иногда используются финансовыми учреждениями и разработчиками приложений Web3 для обеспечения активов, которые им принадлежат. Подобно стандартному мультисгенскому кошельку, им требуется несколько подписей для каждой транзакции. Но в отличие от стандартных Multisigs, они не требуют, чтобы специализированные интеллектуальные контракты были развернуты на блокчейн, и при этом они не должны быть встроены в протокол блокчейна.
Вместо этого эти кошельки работают, генерируя «осколки» частного ключа, причем каждый осколок удерживается одним подписавшим. Эти осколки должны быть объединены вне цепочки, чтобы создать подпись. Из -за этой разницы кошельки MPC могут иметь более низкую плату за газ, чем другие типы мультисеров, и могут быть агностиками блокчейна, согласно документам.
Кошельки MPC часто рассматриваются как более безопасные, чем одиночные фирменные кошельки, поскольку злоумышленник не может взломать их, если они не ставят под угрозу более одного устройства.
Тем не менее, Safeheron утверждает, что обнаружил недостаток безопасности, который возникает, когда эти кошельки взаимодействуют с приложениями на основе Starknet, такими как Dydx и Fireblocks. Когда эти приложения «получите stark_key_signature и/или api_key_signature», они могут «обойти защиту частных ключей в кошельках MPC», - сказала компания в своем пресс -релизе. Это может позволить злоумышленнику разместить заказы, выполнять переводы уровня 2, отменить заказы и участвовать в других несанкционированных транзакциях.
Safeheron подразумевал, что уязвимость только утечет личные ключи пользователей поставщику кошелька. Следовательно, до тех пор, пока сам поставщик кошелька не является нечестным и не был захвачен злоумышленником, средства пользователя должны быть безопасными. Тем не менее, он утверждал, что это делает пользователя зависеть от доверия к поставщику кошелька. Это может позволить злоумышленникам обойти безопасность кошелька, атакуя саму платформу, как объяснила компания:
"Взаимодействие между кошельками MPC и DYDX или аналогичными DApps [децентрализованными приложениями], которые используют ключи, полученные из подписи Организация может все еще сохранить возможность управлять Dapp ».
Компания заявила, что работает с разработчиками приложений Web3 Fireblocks, Fordefi, Zengo и Starkware, чтобы исправить уязвимость. Он также сообщил DYDX о проблеме, сказал он. В середине марта компания планирует сделать свой протокол открытым исходным кодом, чтобы еще больше помочь разработчикам приложений исправить уязвимость.
Cointelegraph попытался связаться с DYDX, но не смог получить ответ до публикации.
Avihu Levy, глава отдела продукта Starkware, сообщил Cointelegraph, что компания аплодирует Safeherons, пытаясь повысить осведомленность о проблеме и помочь предоставить исправление, заявив:
«Замечательно, что Safeheron открывает протокол, фокусирующийся на этой проблеме [...] Мы рекомендуем разработчикам решить любую проблему безопасности, которая должна возникнуть с любой интеграцией, однако ограничивала его объем. Это включает в себя задачу обсуждается сейчас.
Starknet-это протокол Ethereum уровня 2, который использует доказательства с нулевым знанием для обеспечения сети. Когда пользователь сначала подключается к приложению Starknet, он получает резкий ключ, используя свой обычный кошелек Ethereum. Именно этот процесс говорит, что Safeheron говорит, что приводит к просочившимся ключам для кошельков MPC.
Starknet попытался улучшить свою безопасность и децентрализацию в феврале, открытым источником своей повернуть.
Источник
