Мультиподписные кошельки уязвимы для использования приложениями Starknet, говорит разработчик Safeheron

Согласно пресс-релизу от 9 марта, предоставленному Cointelegraph разработчиком кошелька Multi-Party Computation (MPC) Safeheron, некоторые кошельки с мультиподписью (multisig) могут использоваться приложениями Web3, использующими протокол Starknet. Уязвимость затрагивает кошельки MPC, которые взаимодействуют с приложениями Starknet, такими как dYdX. Согласно пресс-релизу, Safeheron работает с разработчиками приложений над устранением уязвимости.

Согласно документации протокола Safeheron, кошельки MPC иногда используются финансовыми учреждениями и разработчиками приложений Web3 для защиты принадлежащих им криптовалютных активов. Подобно стандартному мультиподписному кошельку, для каждой транзакции требуется несколько подписей. Но в отличие от стандартных мультиподписей, они не требуют развертывания в блокчейне специализированных смарт-контрактов и не должны быть встроены в протокол блокчейна.

Вместо этого эти кошельки работают, генерируя «осколки» закрытого ключа, каждый из которых принадлежит одному подписывающему лицу. Эти осколки должны быть объединены вне сети, чтобы создать подпись. Согласно документам, из-за этой разницы кошельки MPC могут иметь более низкую плату за газ, чем другие типы мультиподписей, и могут быть независимыми от блокчейна.

Кошельки MPC часто считаются более безопасными, чем кошельки с одной подписью, поскольку злоумышленник, как правило, не может взломать их, если они не скомпрометируют более одного устройства.

Однако Safeheron утверждает, что обнаружил брешь в системе безопасности, которая возникает, когда эти кошельки взаимодействуют с приложениями на основе Starknet, такими как dYdX и Fireblocks. Когда эти приложения «получают stark_key_signature и/или api_key_signature», они могут «обходить защиту закрытых ключей в кошельках MPC», говорится в пресс-релизе компании. Это может позволить злоумышленнику размещать заказы, выполнять переводы уровня 2, отменять заказы и участвовать в других несанкционированных транзакциях.

Связанный: Новая афера с «переводом с нулевой стоимостью» нацелена на пользователей Ethereum

Safeheron подразумевает, что уязвимость передает только личные ключи пользователей поставщику кошелька. Поэтому, пока сам поставщик кошелька не является нечестным и не был захвачен злоумышленником, средства пользователя должны быть в безопасности. Однако в нем утверждалось, что это делает пользователя зависимым от доверия к поставщику кошелька. Это может позволить злоумышленникам обойти безопасность кошелька, атакуя саму платформу, как пояснила компания:

«Взаимодействие между кошельками MPC и dYdX или аналогичными dApps [децентрализованными приложениями], которые используют ключи, полученные из подписи, подрывает принцип самообслуживания для платформ кошельков MPC. Клиенты могут иметь возможность обходить предварительно определенные политики транзакций, а сотрудники, покинувшие организацию, могут по-прежнему сохранять возможность работать с децентрализованным приложением».

Компания заявила, что работает с разработчиками приложений Web3 Fireblocks, Fordefi, ZenGo и StarkWare, чтобы исправить уязвимость. Он также сообщил dYdX о проблеме. В середине марта компания планирует сделать свой протокол открытым, чтобы помочь разработчикам приложений исправить уязвимость.

Cointelegraph попытался связаться с dYdX, но не смог получить ответ до публикации.

Авиху Леви, руководитель отдела продуктов StarkWare, сказал Cointelegraph, что компания приветствует попытку Safeheron повысить осведомленность о проблеме и помочь найти решение, заявив:

«Замечательно, что Safeheron предоставляет открытый исходный код протокола, ориентированного на решение этой проблемы[…] Мы призываем разработчиков решать любые проблемы безопасности, которые могут возникнуть при любой интеграции, какой бы ограниченной она ни была. В том числе и обсуждаемый сейчас вызов.

Starknet — это протокол Ethereum уровня 2, который использует доказательства с нулевым разглашением для защиты сети. Когда пользователь впервые подключается к приложению Starknet, он получает ключ STARK, используя свой обычный кошелек Ethereum. Именно этот процесс, по словам Safeheron, приводит к утечке ключей для кошельков MPC.

Starknet попытался улучшить свою безопасность и децентрализацию в феврале, открыв исходный код своего прувера.