Đơn vị bảo mật ví MPC Safeheron vừa phát hiện một lỗ hổng giao thức khi loại ví này tương tác với các ứng dụng phi tập trung (dApp) trên StarkNet như dYdX và Fireblocks.
MPC là viết tắt của multi-party computation, là một loại ví đa chữ ký đòi hỏi phải có xác nhận từ nhiều bên ở cùng một lúc thì mới có thể truy cập vào ví được. MPC có thêm tính năng “tách private key” và có thể được kiểm soát trên nhiều thiết bị, điều này khiến việc hack sẽ cực kỳ khó khăn ngay cả khi tin tặc nắm giữ khoá từ một trong các thiết bị.
Tuy nhiên, điều đó không có nghĩa ví MPC được bảo mật 100%. Theo thông cáo đăng tải ngày 09/03, các nhà phát triển Safeheron đã phát hiện một lỗ hổng bảo mật khi dùng ví MPC tương tác với các dApp trên StarkNet – một giải pháp layer-2 trên Ethereum – bao gồm dYdX, Fordefi hay Fireblocks.
?Enhancing Security on MPC Wallet-dYdX Connections?
We identified potential signature-derived key risk in connecting specific dApps with MPC wallets and promptly collaborated with @SlowMist_Team and @sharkteamorg to verify and develop solutions.
?https://t.co/rioF6VFj5U pic.twitter.com/apk5Gm2Q5x
— Safeheron | We’re Hiring (@Safeheron) March 9, 2023
Cụ thể, khi dYdX ghi nhận chữ ký hay API của người dùng giao dịch, các ứng dụng này ”bỏ qua lớp bảo vệ” private key của ví MPC, dẫn đến nguy cơ kẻ tấn công chen vào giữa, huỷ giao dịch và thực hiện hành vi đánh cắp tài sản.
Safeheron bình luận rằng lỗ hổng này chỉ làm rò rỉ khóa riêng tư của người dùng với ứng dụng nó tương tác. Do đó, miễn là bản thân nền tảng này không gian dối và không bị tấn công, tài sản của người dùng sẽ được an toàn. Tuy nhiên, điều này lại khiến người dùng phụ thuộc vào niềm tin dự án. Công ty bảo mật giải thích:
“Sự tương tác giữa ví MPC và dYdX hay các dApp tương tự sử dụng khóa có nguồn gốc chữ ký làm suy yếu nguyên tắc tự quản lý đối với nền tảng ví MPC. Người sử dụng ví có thể tìm được cách để lách những chính sách do ví đặt ra, còn những người đã rời khỏi dự án vẫn có thể được duy trì vận hành dApp.”
Safeheron cho biết đang làm việc với Fireblocks, Fordefi và StarkWare để vá lỗ hổng này, trong khi dYdX thì cũng đã được thông tin về vấn đề. Phía StarkNet đã nhận thức về lỗi kia trước cả khi Saferon báo cáo, song, blockchain này tuyên bố sẽ không cho phép tin tặc tẩu tán tiền ra khỏi layer-2 của mình.
Avihu Levy, Trưởng bộ phận Sản phẩm tại StarkWare đã hoan nghênh nỗ lực của Safeheron trước truyền thông:
“Thật tuyệt khi Safeheron đang cung cấp nguồn mở một giao thức tập trung vào vấn đề này. Chúng tôi khuyến khích các nhà phát triển giải quyết mọi thách thức bảo mật có thể phát sinh với bất kỳ tích hợp nào. Sự gia tăng số lượng các tổ chức và cá nhân tham gia vào việc vá lỗi cho quá trình tích hợp layer-2 là rất tích cực.”
StarkNet là một giải pháp lớp 2 (Layer-2) trên mạng lưới Ethereum sử dụng công nghệ ZK-Rollups, cho phép các nhà phát triển dApp không bị giới hạn về quy mô hoạt động nhưng vẫn đảm bảo được tính bảo mật thừa hưởng từ Ethereum.
Coin68 tổng hợp
Có thể bạn quan tâm: