Secret Network устраняет сетевую уязвимость после раскрытия «белой шляпы»

30 ноября Гай Зискинд, генеральный директор Secret Network, занимающейся блокчейном смарт-контрактов конфиденциальности, заявил, что разработчики исправили уязвимость, связанную с конфиденциальностью, и средства пользователей остаются в безопасности. В документе от 29 ноября Secret Network написала, что пользователям или разработчикам не требуется никаких действий и что все активные узлы были обновлены для исправления эксплойта 2 ноября.

https://platform.twitter.com/widgets.js

Последовательность событий, обнародованная вчера поздно вечером разработчиками Secret Network, началась, когда 3 октября группа ученых-исследователей в области компьютерных наук связалась с командой Secret по поводу недавно обнаруженной архитектурной ошибки xAPIC (Advanced Programmable Interrupt Controller). Эксплойт допускал неинициализированное чтение памяти в некоторых процессорах Intel с поддержкой Software Guard Extension (SGX). Secret Network использует технологию SGX для обеспечения конфиденциального исполнения смарт-контрактов.

Как указано в их документе, исследователи сначала зарегистрировали сервер в качестве узла валидации в секретной сети, даже если у них не было достаточно средств, которым можно было бы доверять для активной проверки транзакций. Затем процесс регистрации сохранил копию глобального консенсуса Secret внутри своего анклава SGX. Затем, из-за вышеупомянутого сбоя процессора, исследователи извлекли начальное значение консенсуса его секретного узла и его частного ключа Intel Enhanced Privacy ID. Наконец, с помощью этих элементов они смогли взломать функции сохранения конфиденциальности Secret и расшифровать внутреннее состояние всех смарт-контрактов в сети, а также встроенных в них цифровых активов.

Секретные разработчики проверили эксплойт 4 октября и разработали план исправления уязвимости вместе с исследователями и сотрудниками Intel. Сначала узлы были принудительно исключены из сети, а их секретные ключи удалены. После этого узлы могли воссоединиться с сетью только в том случае, если они исправили все известные уязвимости, что было завершено 2 ноября. «С этим обновлением теперь невозможно организовать атаки xAPIC на основную сеть Secret Network», — написала команда Secret Network.

Кроме того, новые узлы, присоединяющиеся к сети, будут ограничены только оборудованием серверного класса, чтобы ограничить поверхность атаки, которую представляет оборудование пользовательского класса. Компания Secret Network, основанная в 2015 году, в настоящее время имеет рыночную капитализацию в размере 131 миллиона долларов благодаря собственному токену SCRT. Фирма сотрудничала с режиссером Квентином Тарантино для запуска Secret NFT в ноябре прошлого года.