Secret Network resolve vulnerabilidade de rede após divulgação de white hat
Os pesquisadores conseguiram descriptografar todas as transações internas do Secret usando um exploit.
Em 30 de novembro, Guy Zyskind, CEO da Secret Network, blockchain de contrato inteligente de privacidade, disse que os desenvolvedores corrigiram uma vulnerabilidade relacionada à privacidade e os fundos dos usuários permanecem seguros. Em um documento datado de 29 de novembro, a Secret Network escreveu que os usuários ou desenvolvedores não exigiam nenhuma ação e que todos os nós ativos foram atualizados para corrigir a exploração em 2 de novembro.
2/ Você pode ler o post para os detalhes principais, mas a parte importante é que a vulnerabilidade foi mitigada e é improvável que tenha sido explorada. Mais importante ainda, os fundos nunca estiveram em risco, porque a Secret intencionalmente não depende da SGX para correção – apenas privacidade.
— Guy Zyskind (@GuyZys) 29 de novembro de 2022
A sequência de eventos, revelada na noite de ontem pelos desenvolvedores da Secret Network, começou quando um grupo de pesquisadores de ciência da computação white hat contatou a equipe Secret em 3 de outubro sobre um bug arquitetônico xAPIC (Controlador Avançado de Interrupção Programável) recentemente divulgado. A exploração permitia leituras de memória não inicializada em certas CPUs Intel habilitadas para Software Guard Extension (SGX). A Secret Network utiliza a tecnologia SGX para fornecer execução confidencial de contratos inteligentes.
Conforme declarado em seu artigo, os pesquisadores primeiro registraram um servidor como um nó validador na Secret Network, mesmo quando não tinham fundos suficientes para serem confiáveis para validar ativamente as transações. O processo de registro então armazenou uma cópia da seed de consenso global da Secret dentro de seu enclave SGX. Em seguida, por meio da falha de CPU mencionada acima, os pesquisadores extraíram a semente de consenso de seu nó secreto e sua chave privada de ID de privacidade aprimorada da Intel. Por fim, com esses itens, eles conseguiram quebrar os recursos de preservação da privacidade da Secret e descriptografar o estado interno de todos os contratos inteligentes na rede, bem como os ativos digitais incorporados a eles.
Os desenvolvedores da Secret verificaram a exploração em 4 de outubro e elaboraram um plano para corrigir a vulnerabilidade junto com pesquisadores e funcionários da Intel. Primeiro, os nós foram ejetados à força da rede e suas chaves secretas excluídas. Depois disso, os nós só poderiam voltar à rede se corrigissem todas as vulnerabilidades conhecidas, o que foi concluído em 2 de novembro. “Com esta atualização, agora é inviável montar ataques xAPIC contra a rede principal da Secret Network”, escreveu a equipe da Secret Network.
Além disso, os novos nós que ingressarem na rede serão limitados apenas ao hardware de classe de servidor, para limitar a superfície de ataque que o hardware de classe de usuário apresenta. Fundada em 2015, a Secret Network atualmente tem um valor de mercado de US$ 131 milhões por meio de seu token nativo SCRT. A empresa fez parceria com o diretor Quentin Tarantino para lançar NFTs da Secret em novembro passado.
VEJA MAIS:
