Según un comunicado de prensa del 9 de marzo proporcionado a Cointelegraph por Safeheron, desarrollador de billeteras de computación multipartita (MPC), ciertas billeteras de múltiples firmas (multisig) pueden ser explotadas por aplicaciones Web3 que usan el protocolo StarkEx. La vulnerabilidad afecta a las billeteras MPC que interactúan con aplicaciones StarkEx como dYdX. Según el comunicado de prensa, Safeheron está trabajando con los desarrolladores de aplicaciones para cerrar la brecha de seguridad.
De acuerdo con la documentación del protocolo de Safeheron, las instituciones financieras y los desarrolladores de aplicaciones Web3 a veces utilizan las billeteras MPC para proteger los activos criptográficos que poseen. Similar a una billetera multisig estándar requerir múltiples firmas para cada transacción. Pero a diferencia de los multigrados estándar, no requieren la implementación de contratos inteligentes especializados en la cadena de bloques, ni deben integrarse en el protocolo de la cadena de bloques.
En cambio, estas billeteras funcionan generando “fragmentos” de una clave privada, con cada fragmento en manos de un firmante. Estos fragmentos deben unirse fuera de la cadena para crear una firma. Debido a esta diferencia, las billeteras MPC pueden tener tarifas de gas más bajas que otros tipos de multisigs y ser independientes de blockchain, según la documentación.
Las billeteras MPC son a menudo se considera más seguro como carteras de firmas individuales, ya que un atacante generalmente no puede piratearlas a menos que comprometa más de un dispositivo.
Sin embargo, Safeheron afirma haber descubierto una falla de seguridad que surge cuando estas billeteras interactúan con aplicaciones basadas en StarkEx como dYdX y Fireblocks. Si estas aplicaciones “reciben una firma de clave stark y/o una firma de clave api”, pueden “pasar por alto la protección de seguridad de las claves privadas en las billeteras MPC”, según la compañía en su comunicado de prensa. Esto podría permitir que un atacante realice pedidos, realice transferencias de Capa 2, cancele pedidos y participe en otras transacciones no autorizadas.
Relacionado: Nueva estafa de “transferencia de valor cero” dirigida a usuarios de Ethereum
Safeheron dio a entender que la vulnerabilidad solo filtra las claves privadas de los usuarios al proveedor de la billetera. Por lo tanto, siempre que el proveedor de la billetera no sea deshonesto y no haya sido tomado por un atacante, los fondos del usuario deberían estar seguros. Sin embargo, argumentó que esto depende de que el usuario confíe en el proveedor de la billetera. Esto puede permitir a los atacantes eludir la seguridad de la billetera al atacar la plataforma misma, como explicó la compañía:
“La interacción entre las billeteras MPC y dYdX o dApps similares [decentralized applications] el uso de claves derivadas de firmas socava el principio de autocustodia de las plataformas de billetera MPC. Los clientes pueden eludir las políticas de transacción predefinidas, y los empleados que han dejado la empresa aún pueden conservar la capacidad de operar la dApp”.
La compañía dijo que está trabajando con varios desarrolladores de aplicaciones Web3, incluidos Fireblocks, Fordefi y StarkWare, para reparar la vulnerabilidad. Se dijo que dYdX también se enteró del problema. A mediados de marzo, la compañía planea abrir su protocolo para ayudar aún más a los desarrolladores de aplicaciones a parchear la vulnerabilidad.
Una fuente familiarizada con el asunto le dijo a Cointelegraph que StarkEx estaba al tanto de la vulnerabilidad antes de que Safeheron la señalara, y señaló que no permite que un atacante transfiera fondos de la Capa 2 a la red principal. Aparentemente, esto implica que un atacante podría no ser capaz de robar fondos con éxito a través del ataque.
Cointelegraph intentó ponerse en contacto con dYdX pero no recibió respuesta antes de la publicación.
Avihu Levy, jefe de producto de StarkWare, le dijo a Cointelegraph que la empresa agradece el intento de Safeheron de crear conciencia sobre el problema y ayudar a brindar una solución, y explicó:
“Es fantástico que Safeheron proporcione un protocolo de código abierto centrado en este desafío. Alentamos a los desarrolladores a abordar cualquier desafío de seguridad que pueda encontrar una integración, sin importar cuán limitado sea su alcance. Esto también incluye el desafío que ahora se está discutiendo”.
Continuó afirmando: “El aumento de empresas e individuos que encuentran soluciones a algunos de los problemas iniciales de la integración L2 es muy positivo”.
StarkEx es una capa 2 El protocolo Ethereum utiliza evidencia de conocimiento cero para asegurar la red. Cuando un usuario se conecta a una aplicación StarkEx por primera vez, obtiene una clave STARK utilizando su billetera Ethereum ordinaria. Es este proceso el que Safeheron dice que conduce a claves filtradas para billeteras MPC.
Dejar una contestacion