กระเป๋าเงิน Multisig เสี่ยงต่อการถูกโจมตีจากแอพ StarkEx : ผู้พัฒนา Safeheron เตือน

กระเป๋าเงินแบบ multisignature (multisig) บางตัวสามารถถูกโจมตีโดยแอพ Web3 ที่ใช้โปรโตคอล StarkEx ได้ ตามข่าวประชาสัมพันธ์โดย Safeheron ผู้พัฒนา wallet Multi-Party Computation (MPC) เมื่อวันที่ 9 มีนาคม 

ช่องโหว่นี้ส่งผลกระทบต่อกระเป๋าเงิน MPC ที่โต้ตอบกับแอพ StarkEx เช่น dYdX โดย Safeheron กำลังทำงานร่วมกับนักพัฒนาแอพเพื่อแก้ไขช่องโหว่ดังกล่าว

Safeheron ระบุว่าบางครั้ง MPC wallets จะถูกใช้โดยสถาบันการเงินและนักพัฒนาแอป Web3 เพื่อรักษาความปลอดภัยสินทรัพย์ crypto ที่พวกเขาเป็นเจ้าของ เช่นเดียวกับกระเป๋าเงิน multisig มาตรฐาน พวกเขาต้องการลายเซ็นหลายรายการสำหรับการทำธุรกรรมแต่ละครั้ง  แต่ก็มีความแตกต่างจาก multisigs มาตรฐาน เนื่องจากพวกเขาไม่จำเป็นต้องใช้ smart contracts พิเศษเพื่อปรับใช้กับบล็อกเชน และไม่จำเป็นต้องสร้างขึ้นในโปรโตคอลของบล็อกเชน

กระเป๋าเงินเหล่านี้ทำงานโดยสร้าง “shards” ของ private key โดยแต่ละ shards จะถูกเก็บไว้โดยผู้ลงนามคนเดียว ซึ่ง shards เหล่านี้ต้องเชื่อมต่อกันแบบออฟไลน์เพื่อสร้างลายเซ็น  และเนื่องจากความแตกต่างนี้ กระเป๋าเงิน MPC จึงสามารถมีค่าธรรมเนียม gas ที่ต่ำกว่า multisigs ประเภทอื่น ๆ

กระเป๋าเงินแบบ MPC มักจะถูกมองว่าปลอดภัยกว่าแบบ single signature wallets เนื่องจากผู้โจมตีไม่สามารถเจาะระบบได้ เว้นแต่ว่าพวกเขาจะบุกรุกอุปกรณ์มากกว่าหนึ่งเครื่อง

อย่างไรก็ตาม Safeheron อ้างว่าได้ค้นพบช่องโหว่ด้านความปลอดภัยที่เกิดขึ้นเมื่อกระเป๋าเงินเหล่านี้โต้ตอบกับแอพที่ใช้ StarkEx เช่น dYdX และ Fireblocks โดยเมื่อแอปเหล่านี้ “ได้รับ stark_key_signature และ/หรือ api_key_signature” แอปเหล่านี้สามารถ “ข้ามการป้องกันความปลอดภัยของ private keys ในกระเป๋าเงิน MPC” ซึ่งวิธีนี้ทำให้ผู้โจมตีสามารถวาง orders , ดำเนินการโอนบนเลเยอร์ 2 , ยกเลิก orders , และทำธุรกรรมที่ไม่ได้รับอนุญาตอื่น ๆ

Safeheron บอกเป็นนัยว่า ช่องโหว่นี้จะทำให้ private keys ของผู้ใช้รั่วไหลไปยังผู้ให้บริการกระเป๋าเงินเท่านั้น ดังนั้น ตราบใดที่ผู้ให้บริการกระเป๋าเงินเองไม่ทุจริตและไม่ได้ถูกยึดครองโดยผู้โจมตี เงินของผู้ใช้ก็ควรจะปลอดภัย  อย่างไรก็ตาม ยังเป็นที่ถกเถียงกันอยู่ว่าสิ่งนี้ทำให้ผู้ใช้ต้องพึ่งพาผู้ให้บริการกระเป๋าเงิน  และอาจทำให้ผู้โจมตีสามารถหลีกเลี่ยงความปลอดภัยของกระเป๋าเงินโดยการโจมตีตัวแพลตฟอร์มเอง

บริษัท กล่าวว่ากำลังทำงานร่วมกับนักพัฒนาแอป Web3 จำนวนหนึ่งรวมถึง Fireblocks, Fordefi และ StarkWare เพื่อแก้ไขช่องโหว่นี้  นอกจากนี้ยังทำให้ dYdX ตระหนักถึงปัญหาด้วย  โดยในช่วงกลางเดือนมีนาคม บริษัทวางแผนที่จะสร้างโปรโตคอลโอเพ่นซอร์สเพื่อช่วยนักพัฒนาแอปแก้ไขช่องโหว่เพิ่มเติม

ขณะที่ StarkEx ก็ได้ทราบเกี่ยวกับช่องโหว่นี้ก่อนที่ Safeheron จะแจ้งให้ทราบ โดยสังเกตว่าพวกเค้าไม่อนุญาตให้ผู้โจมตีโอนเงินออกจากเลเยอร์ 2 และกลับเข้าสู่ mainnet โดยสิ่งนี้ดูเหมือนจะบอกเป็นนัยว่าอาจเป็นไปไม่ได้ที่ผู้โจมตีจะขโมยเงินได้สำเร็จจากการโจมตี

Avihu Levy หัวหน้าฝ่ายผลิตภัณฑ์ของ StarkWare กล่าวว่า บริษัทขอปรบมือให้กับความพยายามของ Safeheron ในการสร้างความตระหนักรู้เกี่ยวกับปัญหาและให้ความช่วยเหลือในการแก้ไข

StarkEx  เป็นโปรโตคอล Ethereum เลเยอร์ 2 ที่ ใช้ zero-knowledge proofs เพื่อรักษาความปลอดภัยเครือข่าย  โดยเมื่อผู้ใช้เชื่อมต่อกับแอป StarkEx เป็นครั้งแรก พวกเขาจะได้รับคีย์ STARK โดยใช้กระเป๋าเงิน Ethereum ธรรมดา ซึ่ง Safeheron กล่าวว่ากระบวนการนี้ส่งผลให้ keys ของกระเป๋าเงิน MPC รั่วไหล

อ้างอิง : LINK
ภาพ LINK

Share on facebook
Share on twitter
Share on linkedin

Radius

ผู้เชี่ยวชาญการเขียนข่าว บทความ ที่เกี่ยวข้องกับ Bitcoin , คริปโตเคอเรนซี่ และ Blockchain ทั้งในไทยและต่างประเทศ อัพเดทราคา มุมมองการลงทุน ใหม่ล่าสุดทุกวัน
ข่าวต่อไป