يمكن استغلال محافظ معينة متعددة التوقيع (multisig) بواسطة تطبيقات Web3 التي تستخدم بروتوكول Starknet ، وفقًا لبيان صحفي صدر في 9 مارس تم تقديمه إلى Cointelegraph بواسطة مطور المحفظة متعدد الأطراف (MPC) Safeheron. تؤثر الثغرة الأمنية على محافظ MPC التي تتفاعل مع تطبيقات Starknet مثل dYdX. وفقًا للبيان الصحفي ، تعمل Safeheron مع مطوري التطبيقات لتصحيح الثغرة الأمنية.
وفقًا لوثائق بروتوكول Safeheron ، تُستخدم محافظ MPC أحيانًا من قبل المؤسسات المالية ومطوري تطبيقات Web3 لتأمين أصول التشفير التي يمتلكونها. على غرار محفظة multisig القياسية ، هم تطلب توقيعات متعددة لكل معاملة. ولكن على عكس multisigs القياسية ، فإنها لا تتطلب عقودًا ذكية متخصصة لنشرها في blockchain ، ولا يجب تضمينها في بروتوكول blockchain.
بدلاً من ذلك ، تعمل هذه المحافظ عن طريق إنشاء "شظايا" من مفتاح خاص ، حيث يحتفظ موقّع واحد بكل جزء. يجب ربط هذه القطع ببعضها البعض خارج السلسلة لإنتاج توقيع. بسبب هذا الاختلاف ، يمكن أن يكون لمحافظ MPC رسوم غاز أقل من الأنواع الأخرى من multisigs ويمكن أن تكون محايدة blockchain ، وفقًا للمستندات.
محافظ MPC هي غالبًا ما يُنظر إليه على أنه أكثر أمانًا من المحافظ ذات التوقيع الفردي ، نظرًا لأن المهاجم لا يمكنه اختراقها عمومًا إلا إذا قام بخرق أكثر من جهاز واحد.
ومع ذلك ، تدعي Safeheron أنها اكتشفت ثغرة أمنية تنشأ عندما تتفاعل هذه المحافظ مع التطبيقات المستندة إلى Starknet مثل dYdX و Fireblocks. قالت الشركة في بيانها الصحفي إنه عندما "تحصل هذه التطبيقات على توقيع_المفتاح الصارم و / أو توقيع_المفتاح_المفتاحي" ، يمكنها "تجاوز الحماية الأمنية للمفاتيح الخاصة في محافظ MPC". يمكن أن يسمح هذا للمهاجم بتقديم الطلبات وإجراء عمليات النقل من المستوى 2 وإلغاء الطلبات والانخراط في معاملات أخرى غير مصرح بها.
هذا الموضوع ذو علاقة بـ: تستهدف عملية احتيال "نقل القيمة الصفرية" الجديدة مستخدمي Ethereum
أشار Safeheron إلى أن الثغرة الأمنية تسرّب فقط مفاتيح المستخدمين الخاصة إلى مزود المحفظة. لذلك ، طالما أن موفر المحفظة نفسه ليس غير أمين ولم يتم الاستيلاء عليه من قبل المهاجم ، يجب أن تكون أموال المستخدم آمنة. ومع ذلك ، جادل بأن هذا يجعل المستخدم يعتمد على الثقة في مزود المحفظة. يمكن أن يسمح ذلك للمهاجمين بالتحايل على أمان المحفظة من خلال مهاجمة النظام الأساسي نفسه ، كما أوضحت الشركة:
"التفاعل بين محافظ MPC و dYdX أو dApps المماثلة [التطبيقات اللامركزية] التي تستخدم مفاتيح مشتقة من التوقيع يقوض مبدأ الحجز الذاتي لمنصات محفظة MPC. قد يتمكن العملاء من تجاوز سياسات المعاملات المحددة مسبقًا ، وقد يحتفظ الموظفون الذين غادروا المؤسسة بالقدرة على تشغيل dApp ".
قالت الشركة إنها تعمل مع مطوري تطبيقات Web3 Fireblocks و Fordefi و ZenGo و StarkWare لتصحيح الثغرة الأمنية. وقالت أيضًا إنها جعلت dYdX على علم بالمشكلة. في منتصف شهر مارس ، تخطط الشركة لجعل بروتوكولها مفتوح المصدر في محاولة لمساعدة مطوري التطبيقات على تصحيح الثغرة الأمنية.
حاول Cointelegraph الاتصال بـ dYdX ، لكنه لم يتمكن من الحصول على رد قبل النشر.
أخبر أفيهو ليفي ، رئيس المنتج في StarkWare ، Cointelegraph أن الشركة تشيد بمحاولة Safeheron لزيادة الوعي حول المشكلة والمساعدة في توفير حل لها ، قائلة:
"إنه لأمر رائع أن تقوم Safeheron بتوفير بروتوكول مفتوح المصدر يركز على هذا التحدي [...] نشجع المطورين على مواجهة أي تحد أمني يجب أن ينشأ مع أي تكامل ، مهما كان نطاقه محدودًا. وهذا يشمل التحدي الذي تتم مناقشته الآن.
ستاركنت هي طبقة 2 بروتوكول Ethereum ذلك يستخدم براهين المعرفة الصفرية لتأمين الشبكة. عندما يتصل المستخدم لأول مرة بتطبيق Starknet ، فإنه يشتق مفتاح STARK باستخدام محفظة Ethereum العادية. هذه هي العملية التي يقول Safeheron إنها تؤدي إلى تسريب مفاتيح محافظ MPC.
حاولت Starknet تحسين الأمن واللامركزية في فبراير من قبل المصدر المفتوح له المثل.
المصدر: https://cointelegraph.com/news/multisig-wallets-vulnerable-to-exploitation-by-starknet-apps-says-developer-safeheron