根據多方計算 (MPC) 錢包開發商 Safeheron 3 月 9 日向 Cointelegraph 提供的一份新聞稿,使用 Starknet 協議的 WebXNUMX 應用程序可以利用某些多重簽名 (multisig) 錢包。 該漏洞影響與 dYdX 等 Starknet 應用程序交互的 MPC 錢包。 根據新聞稿,Safeheron 正在與應用程序開發人員合作修補該漏洞。
根據 Safeheron 的協議文檔,金融機構和 Web3 應用程序開發人員有時會使用 MPC 錢包來保護他們擁有的加密資產。 類似於標準的多重簽名錢包,它們 要求 每筆交易的多個簽名。 但與標準的多重簽名不同,它們不需要將專門的智能合約部署到區塊鏈,也不必將它們構建到區塊鏈的協議中。
相反,這些錢包通過生成私鑰的“碎片”來工作,每個碎片由一個簽名者持有。 這些分片必須在鏈下連接在一起才能產生簽名。 根據文檔,由於這種差異,MPC 錢包的汽油費可以低於其他類型的多重簽名,並且可以與區塊鏈無關。
MPC錢包是 通常被認為更安全 比單一簽名錢包,因為攻擊者通常無法破解它們,除非它們破壞了不止一台設備。
然而,Safeheron 聲稱已經發現了當這些錢包與基於 Starknet 的應用程序(如 dYdX 和 Fireblocks)交互時出現的安全漏洞。 該公司在其新聞稿中表示,當這些應用程序“獲得 stark_key_signature 和/或 api_key_signature”時,它們可以“繞過 MPC 錢包中私鑰的安全保護”。 這可能允許攻擊者下訂單、執行第 2 層傳輸、取消訂單以及進行其他未經授權的交易。
相關新聞: 新的“零價值轉移”騙局針對以太坊用戶
Safeheron 暗示該漏洞只會將用戶的私鑰洩露給錢包提供商。 因此,只要錢包提供商本身不是不誠實的,沒有被攻擊者接管,用戶的資金應該是安全的。 但是,它認為這使用戶依賴於對錢包提供商的信任。 正如該公司解釋的那樣,這可以讓攻擊者通過攻擊平臺本身來規避錢包的安全性:
“MPC 錢包與 dYdX 或使用簽名派生密鑰的類似 dApp [去中心化應用程序] 之間的交互破壞了 MPC 錢包平台的自我託管原則。 客戶可能能夠繞過預定義的交易政策,而離開組織的員工可能仍保留操作 dApp 的能力。”
該公司表示正在與 Web3 應用開發商 Fireblocks、Fordefi、ZenGo 和 StarkWare 合作修補該漏洞。 它還讓 dYdX 意識到了這個問題,它說。 XNUMX 月中旬,該公司計劃將其協議開源,以進一步幫助應用程序開發人員修補漏洞。
Cointelegraph 已嘗試聯繫 dYdX,但未能在發布前得到回复。
StarkWare 產品負責人 Avihu Levy 告訴 Cointelegraph,該公司對 Safeheron 提高對該問題的認識並幫助提供解決方案的嘗試表示讚賞,並表示:
“很高興 Safeheron 開源了一個專注於這一挑戰的協議[…]我們鼓勵開發人員解決任何集成時應該出現的任何安全挑戰,無論其範圍如何。 這包括現在正在討論的挑戰。
星網 是第2層 以太坊協議 使用零知識證明 以保護網絡。 當用戶首次連接到 Starknet 應用程序時,他們會使用他們的普通以太坊錢包獲得一個 STARK 密鑰。 Safeheron 表示,正是這個過程導致了 MPC 錢包的密鑰洩露。
Starknet 試圖在 XNUMX 月份通過以下方式提高其安全性和權力下放 開源其證明者.
來源:https://cointelegraph.com/news/multisig-wallets-vulnerable-to-exploitation-by-starknet-apps-says-developer-safeheron