ზოგიერთი მრავალხელმოწერის (multisig) საფულე შეიძლება გამოიყენოს Web3 აპებმა, რომლებიც იყენებენ Starknet პროტოკოლს, ნათქვამია 9 მარტის პრესრელიზში, რომელიც Cointelegraph-ს მიაწოდა Multi-Party Computation (MPC) საფულის დეველოპერმა Safeheron-მა. დაუცველობა გავლენას ახდენს MPC საფულეებზე, რომლებიც ურთიერთობენ Starknet აპებთან, როგორიცაა dYdX. პრესრელიზის თანახმად, Safeheron მუშაობს აპლიკაციების შემქმნელებთან დაუცველობის აღმოსაფხვრელად.
Safeheron-ის პროტოკოლის დოკუმენტაციის მიხედვით, MPC საფულეებს ზოგჯერ იყენებენ ფინანსური ინსტიტუტები და Web3 აპლიკაციების დეველოპერები, რათა უზრუნველყონ მათ საკუთრებაში არსებული კრიპტო აქტივები. სტანდარტული მრავალსიგიანი საფულის მსგავსად, ისინი მოითხოვს მრავალი ხელმოწერა თითოეული გარიგებისთვის. მაგრამ სტანდარტული მულტისიგებისგან განსხვავებით, მათ არ სჭირდებათ სპეციალიზებული ჭკვიანი კონტრაქტები ბლოკჩეინზე განლაგებისთვის და არც ბლოკჩეინის პროტოკოლში ჩასმა.
ამის ნაცვლად, ეს საფულეები მუშაობენ პირადი გასაღების „ნატეხების“ გენერირებით, თითოეული ნაჭერი ერთ ხელმომწერს უჭირავს. ეს ნამსხვრევები უნდა იყოს გაერთიანებული ჯაჭვის გარეშე, რათა მოხდეს ხელმოწერა. ამ განსხვავების გამო, MPC საფულეებს შეიძლება ჰქონდეთ უფრო დაბალი გაზის გადასახადი, ვიდრე სხვა ტიპის მულტისიგები და შეიძლება იყოს ბლოკჩეინის აგნოსტიკა, დოკუმენტების მიხედვით.
MPC საფულეებია ხშირად განიხილება, როგორც უფრო უსაფრთხო ვიდრე ერთი ხელმოწერის საფულეები, რადგან თავდამსხმელს არ შეუძლია მათი გატეხვა, თუ ისინი ერთზე მეტ მოწყობილობას არ არღვევენ.
თუმცა, Safeheron აცხადებს, რომ აღმოაჩინა უსაფრთხოების ხარვეზი, რომელიც წარმოიქმნება, როდესაც ეს საფულეები ურთიერთქმედებენ Starknet-ზე დაფუძნებულ აპებთან, როგორიცაა dYdX და Fireblocks. როდესაც ეს აპლიკაციები „მიიღებენ stark_key_signature და/ან api_key_signature“, მათ შეუძლიათ „გვერდის ავლით პირადი გასაღებების უსაფრთხოების დაცვას MPC საფულეებში“, ნათქვამია კომპანიის პრესრელიზში. ეს საშუალებას აძლევს თავდამსხმელს განათავსოს შეკვეთები, შეასრულოს მე-2 ფენის გადარიცხვები, გააუქმოს შეკვეთები და ჩაერთოს სხვა არაავტორიზებული ტრანზაქციებში.
ამავე თემაზე: ახალი „ნულოვანი ღირებულების გადაცემის“ თაღლითობა მიზნად ისახავს Ethereum-ის მომხმარებლებს
Safeheron გულისხმობდა, რომ დაუცველობამ მხოლოდ მომხმარებლების პირადი გასაღებები გაჟონა საფულის პროვაიდერთან. ამიტომ, სანამ საფულის პროვაიდერი თავად არ არის არაკეთილსინდისიერი და არ არის ხელში თავდამსხმელი, მომხმარებლის სახსრები დაცული უნდა იყოს. თუმცა, იგი ამტკიცებდა, რომ ეს მომხმარებელს აქცევს დამოკიდებული საფულის პროვაიდერის ნდობაზე. ეს საშუალებას აძლევს თავდამსხმელებს გვერდი აუარონ საფულის უსაფრთხოებას თავად პლატფორმაზე თავდასხმით, როგორც კომპანიამ განმარტა:
„MPC საფულეებსა და dYdX-ს ან მსგავს dApps-ს [დეცენტრალიზებულ აპლიკაციებს] შორის ურთიერთქმედება, რომლებიც იყენებენ ხელმოწერით მიღებულ გასაღებებს, ძირს უთხრის MPC საფულის პლატფორმების თვითმმართველობის პრინციპს. კლიენტებს შეიძლება შეეძლოთ წინასწარ განსაზღვრული ტრანზაქციის პოლიტიკის გვერდის ავლით, ხოლო თანამშრომლებმა, რომლებმაც დატოვეს ორგანიზაცია, შეიძლება კვლავ შეინარჩუნონ dApp-ის მუშაობის შესაძლებლობა.
კომპანიამ განაცხადა, რომ მუშაობს Web3 აპლიკაციების დეველოპერებთან Fireblocks, Fordefi, ZenGo და StarkWare-თან დაუცველობის აღმოსაფხვრელად. მან ასევე გააცნობიერა dYdX პრობლემის შესახებ, თქვა მან. მარტის შუა რიცხვებში, კომპანია გეგმავს თავისი პროტოკოლის ღია წყაროს შექმნას, რათა დაეხმაროს აპლიკაციების დეველოპერებს დაუცველობის გამოსწორებაში.
Cointelegraph-მა სცადა dYdX-თან დაკავშირება, მაგრამ გამოქვეყნებამდე პასუხი ვერ მიიღო.
ავიჰუ ლევიმ, StarkWare-ის პროდუქტის ხელმძღვანელმა Cointelegraph-ს განუცხადა, რომ კომპანია მიესალმება Safeheron-ის მცდელობას, აამაღლოს ცნობადობა ამ საკითხთან დაკავშირებით და დაეხმაროს გამოსწორებას.
„სასიამოვნოა, რომ Safeheron აწარმოებს ღია წყაროს პროტოკოლს, რომელიც ფოკუსირებულია ამ გამოწვევაზე[…] ჩვენ მოვუწოდებთ დეველოპერებს გადახედონ უსაფრთხოების ნებისმიერ გამოწვევას, რომელიც უნდა წარმოიშვას ნებისმიერი ინტეგრაციის დროს, თუმცა შეზღუდულია მისი ფარგლები. ეს მოიცავს გამოწვევას, რომელიც ახლა განიხილება.
სტარკნეტი არის ფენა 2 ეთერიუმის პროტოკოლი რომ იყენებს ნულოვანი ცოდნის მტკიცებულებებს ქსელის დასაცავად. როდესაც მომხმარებელი პირველად უერთდება Starknet აპს, ისინი იღებენ STARK კლავიშს მათი ჩვეულებრივი Ethereum საფულის გამოყენებით. Safeheron-ის თქმით, ეს პროცესი იწვევს MPC საფულეების გასაღებებს.
Starknet სცადა გაეუმჯობესებინა თავისი უსაფრთხოება და დეცენტრალიზაცია თებერვალში ღია წყაროს მისი პროვერ.
წყარო: https://cointelegraph.com/news/multisig-wallets-vulnerable-to-exploitation-by-starknet-apps-says-developer-safeheron