Multi-Party Computation (MPC) түрийвч хөгжүүлэгч Safeheron-аас Cointelegraph-т 3-р сарын 9-нд өгсөн хэвлэлийн мэдээний дагуу Starknet протоколыг ашигладаг WebXNUMX програмууд тодорхой олон гарын үсэгтэй (олон систем) түрийвчийг ашиглаж болно. Энэ эмзэг байдал нь dYdX зэрэг Starknet програмуудтай харьцдаг MPC түрийвчнүүдэд нөлөөлдөг. Хэвлэлийн мэдээнд дурдсанаар Safeheron эмзэг байдлыг арилгахын тулд програм хөгжүүлэгчидтэй хамтран ажиллаж байна.
Safeheron-ийн протоколын баримт бичгийн дагуу MPC түрийвчийг заримдаа санхүүгийн байгууллагууд болон Web3 програм хөгжүүлэгчид өөрсдийн эзэмшдэг крипто хөрөнгийг хамгаалах зорилгоор ашигладаг. Стандарт multisig түрийвчтэй төстэй, тэд шаарддаг гүйлгээ бүрт олон гарын үсэг. Гэхдээ стандарт multisig-ээс ялгаатай нь тэдгээр нь блокчейн дээр тусгай ухаалаг гэрээ байгуулах шаардлагагүй бөгөөд блокчэйний протоколд тусгах шаардлагагүй юм.
Үүний оронд эдгээр түрийвч нь хувийн түлхүүрийн "хэсгийг" үүсгэх замаар ажилладаг бөгөөд хэлтэрхий бүрийг нэг гарын үсэг зурсан хүн эзэмшдэг. Гарын үсэг зурахын тулд эдгээр хэлтэрхийг гинжин хэлхээнээс гадуур нэгтгэх шаардлагатай. Энэхүү ялгаатай байдлаас шалтгаалан MPC түрийвч нь бусад төрлийн олон төрлийн системтэй харьцуулахад хийн төлбөр багатай бөгөөд блокчейн агностик байж болно гэж баримт бичигт дурджээ.
MPC түрийвчнүүд нь ихэвчлэн илүү найдвартай гэж үздэг Нэг гарын үсгийн түрийвчнээс илүү, учир нь халдагчид нэгээс олон төхөөрөмжийг эвдэхээс нааш тэднийг хакердаж чадахгүй.
Гэсэн хэдий ч Safeheron эдгээр түрийвч dYdX болон Fireblocks зэрэг Starknet-д суурилсан програмуудтай харьцах үед үүсдэг аюулгүй байдлын алдааг олж илрүүлсэн гэж мэдэгджээ. Эдгээр программууд нь "хатуу_түлхүүр_гарын үсэг ба/эсвэл api_key_signature авах" үед тэд "MPC түрийвч дэх хувийн түлхүүрүүдийн аюулгүй байдлын хамгаалалтыг давж гарах боломжтой" гэж компанийн хэвлэлийн мэдэгдэлд дурджээ. Энэ нь халдагчид захиалга өгөх, 2-р түвшний шилжүүлэг хийх, захиалгыг цуцлах болон бусад зөвшөөрөлгүй гүйлгээнд оролцох боломжийг олгоно.
Холбогдох: Шинэ "тэг үнэ цэнэтэй шилжүүлэг" заль мэх нь Ethereum хэрэглэгчдэд чиглэсэн байна
Safeheron энэ эмзэг байдал нь зөвхөн хэрэглэгчийн хувийн түлхүүрийг түрийвчний үйлчилгээ үзүүлэгч рүү алддаг гэсэн үг юм. Тиймээс түрийвчний үйлчилгээ үзүүлэгч өөрөө шударга бус, халдагч этгээдийн мэдэлд аваагүй л бол хэрэглэгчийн мөнгө найдвартай байх ёстой. Гэсэн хэдий ч энэ нь хэрэглэгчийг түрийвчний үйлчилгээ үзүүлэгчийн итгэлээс хамааралтай болгодог гэж маргаж байна. Энэ нь халдагчид платформ руу халдаж түрийвчний аюулгүй байдлыг тойрч гарах боломжийг олгоно гэж компани тайлбарлав.
"MPC түрийвч болон dYdX эсвэл ижил төстэй dApps [төвлөрсөн бус програмууд] гарын үсгээс гаралтай түлхүүрүүдийг ашигладаг харилцан үйлчлэл нь MPC түрийвчний платформыг өөрөө хамгаалах зарчмыг алдагдуулж байна. Үйлчлүүлэгчид урьдчилан тодорхойлсон гүйлгээний бодлогыг тойрч гарах боломжтой бөгөөд байгууллагыг орхисон ажилтнууд dApp-г ажиллуулах чадвараа хадгалсаар байх болно."
Тус компани Web3 программ хөгжүүлэгчид Fireblocks, Fordefi, ZenGo, StarkWare нартай хамтран ажиллаж, эмзэг байдлыг арилгахаар ажиллаж байна гэж мэдэгдэв. Энэ нь мөн dYdX-д асуудлын талаар ойлгуулсан гэж мэдэгдэв. Гуравдугаар сарын дундуур тус компани програм хөгжүүлэгчдэд эмзэг байдлыг арилгахад нь туслах зорилгоор протоколоо нээлттэй эх сурвалж болгохоор төлөвлөж байна.
Cointelegraph dYdX-тэй холбогдохыг оролдсон боловч нийтлэхээс өмнө хариу авч чадаагүй байна.
StarkWare-ийн Бүтээгдэхүүн хариуцсан дарга Авиху Леви Cointelegraph-т хэлэхдээ, компани нь Safeheron-ийн асуудлын талаарх мэдлэгийг дээшлүүлэх, засахад туслах гэсэн оролдлогыг сайшааж байна.
“Safeheron энэ сорилтод анхаарлаа хандуулсан протоколыг нээлттэй эх сурвалж болгож байгаа нь үнэхээр гайхалтай[…]Хамрах хүрээ нь хязгаарлагдмал байсан хэдий ч интеграцийн үед гарч болох аюулгүй байдлын аливаа сорилтыг шийдвэрлэхийг бид хөгжүүлэгчдэд уриалж байна. Үүнд одоо хэлэлцэж буй сорилт багтаж байна.
Старкнет 2-р давхарга юм Ethereum протокол тэг мэдлэгийн нотолгоог ашигладаг сүлжээг хамгаалах. Хэрэглэгч анх Starknet програм руу холбогдохдоо энгийн Ethereum түрийвчээ ашиглан STARK түлхүүр авдаг. Энэ процесс нь MPC түрийвчний түлхүүрүүд алдагдсан гэж Safeheron хэлж байна.
Starknet XNUMX-р сард аюулгүй байдлаа сайжруулах, төвлөрлийг сааруулах оролдлого хийсэн Нээлттэй эх сурвалжийн провер.
Эх сурвалж: https://cointelegraph.com/news/multisig-wallets-vulnerable-to-exploitation-by-starknet-apps-says-developer-safeheron