Certas carteiras multiassinatura (multisig) podem ser exploradas por aplicativos Web3 que usam o protocolo Starknet, de acordo com um comunicado de imprensa de 9 de março fornecido ao Cointelegraph pelo desenvolvedor de carteiras Multi-Party Computation (MPC), Safeheron. A vulnerabilidade afeta carteiras MPC que interagem com aplicativos Starknet, como dYdX. De acordo com o comunicado de imprensa, a Safeheron está trabalhando com desenvolvedores de aplicativos para corrigir a vulnerabilidade.
De acordo com a documentação do protocolo da Safeheron, as carteiras MPC às vezes são usadas por instituições financeiras e desenvolvedores de aplicativos Web3 para proteger os criptoativos que possuem. Semelhante a uma carteira multisig padrão, eles requerer assinaturas múltiplas para cada transação. Mas, ao contrário dos multisigs padrão, eles não exigem contratos inteligentes especializados para serem implantados no blockchain, nem precisam ser incorporados ao protocolo do blockchain.
Em vez disso, essas carteiras funcionam gerando “fragmentos” de uma chave privada, com cada fragmento sendo mantido por um signatário. Esses fragmentos devem ser unidos fora da cadeia para produzir uma assinatura. Devido a essa diferença, as carteiras MPC podem ter taxas de gás mais baixas do que outros tipos de multisigs e podem ser independentes de blockchain, de acordo com os documentos.
carteiras MPC são muitas vezes visto como mais seguro do que carteiras de assinatura única, já que um invasor geralmente não pode hackeá-las, a menos que comprometam mais de um dispositivo.
No entanto, a Safeheron afirma ter descoberto uma falha de segurança que surge quando essas carteiras interagem com aplicativos baseados em Starknet, como dYdX e Fireblocks. Quando esses aplicativos “obtêm uma stark_key_signature e/ou api_key_signature”, eles podem “contornar a proteção de segurança de chaves privadas em carteiras MPC”, disse a empresa em seu comunicado à imprensa. Isso pode permitir que um invasor faça pedidos, execute transferências de camada 2, cancele pedidos e participe de outras transações não autorizadas.
Relacionado: Novo golpe de “transferência de valor zero” está visando usuários do Ethereum
Safeheron deu a entender que a vulnerabilidade apenas vaza as chaves privadas dos usuários para o provedor da carteira. Portanto, desde que o próprio provedor de carteira não seja desonesto e não tenha sido controlado por um invasor, os fundos do usuário devem estar seguros. No entanto, argumentou que isso torna o usuário dependente da confiança no provedor de carteira. Isso pode permitir que invasores contornem a segurança da carteira atacando a própria plataforma, conforme explicado pela empresa:
“A interação entre carteiras MPC e dYdX ou dApps semelhantes [aplicativos descentralizados] que usam chaves derivadas de assinatura prejudica o princípio de autocustódia para plataformas de carteira MPC. Os clientes podem contornar as políticas de transação predefinidas e os funcionários que deixaram a organização ainda podem manter a capacidade de operar o dApp.”
A empresa disse que está trabalhando com os desenvolvedores de aplicativos Web3 Fireblocks, Fordefi, ZenGo e StarkWare para corrigir a vulnerabilidade. Também alertou a dYdX sobre o problema, disse. Em meados de março, a empresa planeja tornar seu protocolo de código aberto em um esforço para ajudar ainda mais os desenvolvedores de aplicativos a corrigir a vulnerabilidade.
O Cointelegraph tentou entrar em contato com a dYdX, mas não conseguiu obter uma resposta antes da publicação.
Avihu Levy, chefe de produto da StarkWare, disse ao Cointelegraph que a empresa aplaude a tentativa da Safeheron de aumentar a conscientização sobre o problema e ajudar a fornecer uma correção, afirmando:
“É ótimo que a Safeheron esteja abrindo o código de um protocolo com foco neste desafio[...] Incentivamos os desenvolvedores a lidar com qualquer desafio de segurança que surja com qualquer integração, por mais limitado que seja seu escopo. Isso inclui o desafio que está sendo discutido agora.
Rede Stark é uma camada 2 Protocolo Ethereum que usa provas de conhecimento zero para proteger a rede. Quando um usuário se conecta pela primeira vez a um aplicativo Starknet, ele obtém uma chave STARK usando sua carteira Ethereum comum. É esse processo que Safeheron diz que está resultando em chaves vazadas para carteiras MPC.
A Starknet tentou melhorar sua segurança e descentralização em fevereiro, open-source seu provador.
Fonte: https://cointelegraph.com/news/multisig-wallets-vulnerable-to-exploitation-by-starknet-apps-says-developer-safeheron