Safeheron phát hiện sự cố “lộ private key” khi tương tác với dApp trên StarkNet

Buzz

Đọc tóm tắt

- Safeheron phát hiện lỗ hổng bảo mật khi ví MPC tương tác với dApp trên StarkNet, gây nguy cơ lộ private key.
- Công ty đang hợp tác với các bên liên quan để khắc phục.

Đơn vị bảo mật ví MPC Safeheron mới phát hiện một lỗ hổng giao thức khi loại ví này tương tác với các ứng dụng phi tập trung (dApp) trên StarkNet như dYdX và Fireblocks.

Safeheron phát hiện sự cố “lộ private key” khi tương tác với dApp trên StarkNet

MPC là viết tắt của multi-party computation, là một loại ví đa chữ ký đòi hỏi phải có xác nhận từ nhiều bên ở cùng một lúc thì mới có thể truy cập vào ví được. MPC có thêm tính năng “tách private key” và có thể được kiểm soát trên nhiều thiết bị, điều này khiến việc hack sẽ cực kỳ khó khăn ngay cả khi tin tặc nắm giữ khoá từ một trong các thiết bị.

Tuy nhiên, điều đó không có nghĩa ví MPC được bảo mật 100%. Theo thông cáo đăng tải ngày 09/03, các nhà phát triển Safeheron đã phát hiện một sự cố bảo mật khi sử dụng ví MPC tương tác với các dApp trên StarkNet – một giải pháp layer-2 trên Ethereum – bao gồm dYdX, Fordefi hay Fireblocks.

Cụ thể, khi dYdX ghi nhận chữ ký hay API của người dùng giao dịch, các ứng dụng này ”bỏ qua lớp bảo vệ” private key của ví MPC, dẫn đến nguy cơ kẻ tấn công chen vào giữa, huỷ giao dịch và thực hiện hành vi đánh cắp tài sản.

Safeheron nhận xét rằng lỗ hổng này chỉ làm lộ ra khóa riêng tư của người dùng khi họ tương tác với ứng dụng. Vì vậy, miễn là nền tảng không bị tấn công, tài sản của người dùng sẽ được bảo vệ. Tuy nhiên, điều này lại làm cho người dùng phải phụ thuộc vào niềm tin vào dự án. Công ty bảo mật giải thích:

“Sự tương tác giữa ví MPC và dYdX hoặc các dApp tương tự sử dụng khóa có nguồn gốc từ chữ ký, làm suy yếu nguyên tắc tự quản lý của ví MPC. Người sử dụng ví có thể tìm cách lách những chính sách do ví đặt ra, và những người đã rời khỏi dự án vẫn có thể tiếp tục sử dụng dApp.”

Safeheron đang hợp tác với Fireblocks, Fordefi và StarkWare để khắc phục lỗ hổng này, trong khi dYdX cũng đã được thông báo về vấn đề. StarkNet cũng nhận thức về sự cố trước khi Safeheron báo cáo, tuy nhiên, blockchain này tuyên bố sẽ không cho phép tin tặc tẩu tán tiền ra khỏi layer-2 của mình.

Avihu Levy, Trưởng bộ phận Sản phẩm tại StarkWare đã hoan nghênh nỗ lực của Safeheron trước truyền thông:

“Rất tuyệt khi Safeheron đang cung cấp nguồn mở cho một giao thức tập trung vào vấn đề này. Chúng tôi khích lệ các nhà phát triển giải quyết mọi thách thức bảo mật có thể phát sinh trong bất kỳ tích hợp nào. Sự gia tăng số lượng các tổ chức và cá nhân tham gia vào việc vá lỗi cho quá trình tích hợp layer-2 là rất tích cực.”

StarkNet là một giải pháp lớp 2 (Layer-2) trên mạng Ethereum sử dụng công nghệ ZK-Rollups, cho phép các nhà phát triển dApp không bị hạn chế về quy mô hoạt động nhưng vẫn đảm bảo được tính bảo mật thừa hưởng từ Ethereum.

Mytour

Nội dung từ Mytour nhằm chăm sóc khách hàng và khuyến khích du lịch, chúng tôi không chịu trách nhiệm và không áp dụng cho mục đích khác.

Nếu bài viết sai sót hoặc không phù hợp, vui lòng liên hệ qua email: [email protected]