Bestëmmte Multisignature (Multisig) Portemonnaie kënne vu Web3 Apps exploitéiert ginn, déi de Starknet Protokoll benotzen, laut enger Pressematdeelung vum 9. Mäerz un Cointelegraph vum Multi-Party Computation (MPC) Portemonnaie Entwéckler Safeheron. D'Vulnerabilitéit beaflosst MPC Portemonnaien déi mat Starknet Apps interagéieren wéi dYdX. Laut der Pressematdeelung schafft Safeheron mat App Entwéckler fir d'Schwachheet ze patchen.
Geméiss dem Safeheron Protokolldokumentatioun ginn MPC Portemonnaien heiansdo vu Finanzinstituter a Web3 App Entwéckler benotzt fir Krypto Verméigen ze sécheren déi se besëtzen. Ähnlech zu engem Standard multisig Portemonnaie, si verlaangen Multiple Ënnerschrëfte fir all Transaktioun. Awer am Géigesaz zu Standard Multisigs erfuerderen se keng spezialiséiert Smart Kontrakter fir op de Blockchain ofzesetzen, an och musse se an de Blockchain Protokoll agebaut ginn.
Amplaz, funktionnéieren dës Portemonnaie andeems se "Shards" vun engem private Schlëssel generéieren, mat all Shard vun engem Signer ofgehalen. Dës Schnëtt musse vun der Kette matenee verbonne ginn fir eng Ënnerschrëft ze produzéieren. Wéinst dësem Ënnerscheed kënnen MPC Portemonnaie méi niddereg Gaskäschten hunn wéi aner Zorte vu Multisigs a kënne Blockchain agnostesch sinn, laut den Dokumenter.
MPC Portemonnaien sinn dacks als méi sécher gesinn wéi eenzel Ënnerschrëft Portemonnaien, well en Ugräifer kann se allgemeng net hacken ausser se kompromittéiere méi wéi een Apparat.
Wéi och ëmmer, Safeheron behaapt datt hien e Sécherheetsfehler entdeckt huet deen entsteet wann dës Portemonnaie mat Starknet-baséiert Apps wéi dYdX a Fireblocks interagéieren. Wann dës Apps "eng stark_key_signature an / oder api_key_signature kréien", kënne se "de Sécherheetsschutz vu private Schlësselen an MPC Portemonnaie ëmgoen", sot d'Firma a senger Pressematdeelung. Dëst kann en Ugräifer erlaben Bestellungen ze maachen, Layer 2 Transferen auszeféieren, Bestellungen ze annuléieren an aner onerlaabt Transaktiounen ze engagéieren.
Verbonnen: Neie "Null-Wäert Transfer" Scam zielt op Ethereum Benotzer
Safeheron implizéiert datt d'Schwachheet nëmmen d'private Schlëssele vun de Benotzer un de Portemonnaie Provider leeft. Dofir, soulaang de Portemonnaie Provider selwer net onéierlech ass an net vun engem Ugräifer iwwerholl gouf, sollten d'Fongen vum Benotzer sécher sinn. Wéi och ëmmer, et huet argumentéiert datt dëst de Benotzer ofhängeg vum Vertrauen an de Portemonnaie Provider mécht. Dëst kann Ugräifer erlaben d'Sécherheet vum Portemonnaie ze ëmgoen andeems se d'Plattform selwer attackéieren, wéi d'Firma erkläert huet:
"D'Interaktioun tëscht MPC Portemonnaien an dYdX oder ähnlechen dApps [dezentraliséiert Uwendungen], déi Ënnerschrëft-ofgeleet Schlësselen benotzen, ënnergruewt de Prinzip vun der Selbstversécherung fir MPC Portemonnaie Plattformen. D'Clientë kënnen d'Pre-definéiert Transaktiounspolitik ëmgoen, an d'Mataarbechter, déi d'Organisatioun verlooss hunn, kënnen nach ëmmer d'Fäegkeet behalen fir d'dApp ze bedreiwen.
D'Firma sot datt et mat Web3 App Entwéckler Fireblocks, Fordefi, ZenGo, a StarkWare schafft fir d'Schwachheet ze patchen. Et huet dYdX och de Problem bewosst gemaach, sot et. Mëtt Mäerz plangt d'Firma säi Protokoll Open Source ze maachen an engem Effort fir App Entwéckler weider ze hëllefen d'Schwachheet ze patchen.
Cointelegraph huet probéiert dYdX ze kontaktéieren, awer konnt net eng Äntwert kréien ier d'Publikatioun.
Den Avihu Levy, Head of Product bei StarkWare huet dem Cointelegraph gesot datt d'Firma dem Safeheron säi Versuch applaudéiert fir d'Bewosstsinn iwwer d'Thema ze erhéijen an ze hëllefen eng Fix ze bidden, seet:
"Et ass super datt Safeheron e Protokoll op dës Erausfuerderung konzentréiert [...] Dëst beinhalt d'Erausfuerderung déi elo diskutéiert gëtt.
Starknet ass eng Schicht 2 Ethereum Protokoll datt benotzt null-Wëssen Beweiser d'Netz ze sécheren. Wann e Benotzer fir d'éischt mat enger Starknet App verbënnt, ofgeleet se e STARK Schlëssel mat hirem normale Ethereum Portemonnaie. Et ass dëse Prozess, dee Safeheron seet, féiert zu leckte Schlësselen fir MPC Portemonnaien.
Starknet probéiert seng Sécherheet an Dezentraliséierung am Februar ze verbesseren duerch open-sourcing seng prover.
Quell: https://cointelegraph.com/news/multisig-wallets-vulnerable-to-exploitation-by-starknet-apps-says-developer-safeheron