توسعه دهنده Safeheron می گوید کیف پول های Multisig در برابر سوء استفاده توسط برنامه Starknet آسیب پذیر هستند.

به گزارش پایگاه خبری ارز دیجیتال موبو ارز،

ظاهراً این آسیب‌پذیری به یک برنامه Web3 با استفاده از پروتکل Starknet اجازه می‌دهد تا حفاظت‌های امنیتی کلید خصوصی کیف پول MPC را دور بزند و کلید خصوصی کاربر را در معرض ارائه‌دهنده کیف پول قرار دهد.

بر اساس یک بیانیه مطبوعاتی در ۹ مارس که توسط توسعه دهنده کیف پول محاسبات چند جانبه (MPC) Safeheron در اختیار Cointelegraph قرار گرفت، برخی از کیف پول های multisig توسط برنامه های Web3 با استفاده از پروتکل Starknet مورد سوء استفاده قرار می گیرند. این امکان وجود دارد. این آسیب‌پذیری کیف پول‌های MPC را که با برنامه‌های Starknet مانند dYdX تعامل دارند، تحت تأثیر قرار می‌دهد. طبق بیانیه مطبوعاتی، Safeheron در حال کار با توسعه دهندگان برنامه برای اصلاح این آسیب پذیری ها است.

طبق اسناد پروتکل Safeheron، کیف پول MPC گاهی اوقات برای محافظت از دارایی های رمزنگاری متعلق به موسسات مالی و توسعه دهندگان برنامه Web3 استفاده می شود. همانند کیف پول های استاندارد چند سایگ، برای هر تراکنش به چندین امضا نیاز است. با این حال، بر خلاف استاندارد multisig، نیازی به قرارداد هوشمند خاصی برای استقرار در بلاک چین یا تعبیه در پروتکل بلاک چین نیست.

در عوض، این کیف پول‌ها با تولید «تکه‌های» کلیدهای خصوصی کار می‌کنند که هر تکه توسط یک امضاکننده نگه داشته می‌شود. این خرده ها باید خارج از زنجیره ترکیب شوند تا امضا ایجاد شود. طبق اسناد، این تفاوت می‌تواند به کیف پول‌های MPC اجازه دهد هزینه‌های گاز کمتری نسبت به سایر انواع مولتی سیگ‌ها داشته باشند و آگنوستیک بلاک چین باشند.

کیف پول های MPC اغلب از کیف پول های تک امضا ایمن تر در نظر گرفته می شوند، زیرا نمی توان آنها را هک کرد مگر اینکه یک مهاجم چندین دستگاه را در معرض خطر قرار دهد.

با این حال، Safeheron ادعا می‌کند که نقص‌های امنیتی پیدا کرده است که هنگام تعامل این کیف پول‌ها با برنامه‌های مبتنی بر Starknet مانند dYdX و Fireblocks رخ می‌دهد. این شرکت در بیانیه‌ای اعلام کرد، هنگامی که این برنامه‌ها «signature stark_key_signature و/یا api_key_signature» را دریافت کردند، «می‌توانند حفاظت‌های امنیتی کلیدهای خصوصی کیف پول MPC را دور بزنند». این می تواند به مهاجم اجازه دهد تا سفارش دهد، انتقال های لایه ۲ را انجام دهد، سفارش ها را لغو کند و در سایر تراکنش های متقلبانه شرکت کند.

مطالب مرتبط: کلاهبرداری جدید «انتقال پول بی‌ارزش» کاربران اتریوم را هدف قرار می‌دهد

Safeheron به این معنی است که این آسیب‌پذیری به سادگی کلید خصوصی کاربر را به ارائه‌دهنده کیف پول لو می‌دهد. بنابراین، تا زمانی که خود ارائه‌دهنده کیف پول کلاهبردار و توسط مهاجم ربوده نشده باشد، وجوه کاربر باید امن باشد. با این حال، آن استدلال کرد که این باعث می‌شود کاربران مجبور شوند به اعتماد خود به ارائه‌دهنده کیف پول اعتماد کنند. همانطور که شرکت توضیح داد، این به مهاجمان اجازه می‌دهد تا با حمله به خود پلتفرم، امنیت کیف پول را دور بزنند.

“تعامل بین کیف پول MPC و dYdX یا dApp های مشابه [decentralized applications] هر چیزی که از کلیدهای مشتق از امضا استفاده می کند، اصل خود مدیریتی پلت فرم کیف پول MPC را تضعیف می کند. مشتریان ممکن است بتوانند از سیاست های تراکنش از پیش تعریف شده عبور کنند و کارمندانی که سازمان را ترک می کنند ممکن است توانایی تعامل با dApps را حفظ کنند. ”

این شرکت اعلام کرد که با توسعه دهندگان برنامه Web3 Fireblocks، Fordefi، ZenGo و StarkWare برای اصلاح این آسیب پذیری کار می کند. او همچنین dYdX را از مشکل آگاه کرد. این شرکت قصد دارد در اواسط ماه مارس این پروتکل را منبع باز کند تا به توسعه دهندگان برنامه کمک کند تا آسیب پذیری ها را اصلاح کنند.

کوین تلگراف تلاش کرد با dYdX تماس بگیرد اما قبل از انتشار نتوانست پاسخی دریافت کند.

Avihu Levy، رئیس محصول StarkWare، به Cointelegraph گفت که از تلاش‌های Safeheron برای افزایش آگاهی در مورد این مشکل و کمک به رفع آن تحسین می‌کند.

«خیلی خوب است که Safeheron پروتکلی با منبع باز ارائه می کند که بر این چالش متمرکز شده است.[…]توسعه دهندگان تشویق می شوند تا به چالش های امنیتی که ادغام ها معرفی می کنند، رسیدگی کنند، حتی اگر دامنه ادغام محدود باشد. این شامل موضوعاتی می شود که در حال حاضر در حال بحث هستند.

Starknet یک پروتکل لایه ۲ اتریوم است که از مدارک دانش صفر برای ایمن سازی شبکه شما استفاده می کند. هنگامی که کاربر برای اولین بار به برنامه Starknet متصل می شود، از کیف پول معمولی اتریوم خود برای دریافت کلید STARK خود استفاده می کند. به گفته Safeheron، این فرآیند است که کلیدهای کیف پول MPC را آشکار می کند.

Starknet در ماه فوریه با منبع باز ارائه دهنده خود به دنبال بهبود امنیت و تمرکززدایی بود.

نویسنده: Tom Blackstone