Secret Network giải quyết lỗ hổng mạng sau khi tiết lộ mũ trắng
Các nhà nghiên cứu đã có thể giải mã tất cả các giao dịch nội bộ của Secret bằng cách khai thác.
Vào ngày 30 tháng 11, Guy Zyskind, Giám đốc điều hành của chuỗi khối hợp đồng thông minh bảo mật Secret Network, cho biết các nhà phát triển đã vá một lỗ hổng liên quan đến quyền riêng tư và tiền của người dùng vẫn được bảo mật. Trong một tài liệu ngày 29 tháng 11, Secret Network đã viết rằng người dùng hoặc nhà phát triển không cần hành động gì và tất cả các nút đang hoạt động đã được nâng cấp để sửa lỗi khai thác vào ngày 2 tháng 11.
2/ You can read the post for the main details, but the important part is that the vulnerability was mitigated and unlikely to have been exploited. Most importantly, funds were never at risk, because Secret intentionally does not rely on SGX for correctness – only privacy.
— Guy Zyskind (@GuyZys) November 29, 2022
Chuỗi sự kiện, được các nhà phát triển Secret Network tiết lộ vào cuối ngày hôm qua, bắt đầu khi một nhóm các nhà nghiên cứu khoa học máy tính mũ trắng liên hệ với nhóm Secret vào ngày 3 tháng 10 về một lỗi kiến trúc xAPIC (Bộ điều khiển ngắt có thể lập trình nâng cao) được tiết lộ gần đây. Việc khai thác cho phép đọc bộ nhớ chưa được khởi tạo trong một số CPU Intel hỗ trợ phần mở rộng bảo vệ phần mềm (SGX). Mạng bí mật tận dụng công nghệ SGX để cung cấp việc thực hiện hợp đồng thông minh một cách bí mật.
Như đã nêu trong bài báo của họ, trước tiên các nhà nghiên cứu đã đăng ký một máy chủ làm nút xác thực trên Mạng bí mật, ngay cả khi họ không có đủ tiền để được tin cậy để chủ động xác thực các giao dịch. Sau đó, quá trình đăng ký đã lưu trữ một bản sao hạt giống đồng thuận toàn cầu của Secret bên trong khu vực SGX của nó. Tiếp theo, thông qua trục trặc CPU nói trên, các nhà nghiên cứu đã trích xuất hạt giống đồng thuận của Nút bí mật và khóa ID bảo mật nâng cao Intel riêng của nó. Cuối cùng, với những vật phẩm này, họ có thể phá vỡ các tính năng bảo vệ quyền riêng tư của Secret và giải mã trạng thái bên trong của tất cả các hợp đồng thông minh trên mạng, cũng như các tài sản kỹ thuật số được nhúng trong chúng.
Các nhà phát triển bí mật đã xác minh khai thác vào ngày 4 tháng 10 và cùng với các nhà nghiên cứu và nhân viên của Intel đưa ra kế hoạch vá lỗ hổng bảo mật. Đầu tiên, các nút bị đẩy ra khỏi mạng một cách mạnh mẽ và các khóa bí mật của chúng bị xóa. Sau đó, các nút chỉ có thể tham gia lại mạng nếu chúng vá tất cả các lỗ hổng đã biết, quá trình này đã hoàn tất vào ngày 2 tháng 11. “Với bản nâng cấp này, giờ đây không thể thực hiện các cuộc tấn công xAPIC vào mạng chính của Secret Network,” nhóm Secret Network viết.
Ngoài ra, các nút mới tham gia mạng sẽ chỉ giới hạn ở phần cứng cấp máy chủ, nhằm hạn chế bề mặt tấn công mà phần cứng cấp người dùng thể hiện. Được thành lập vào năm 2015, Secret Network hiện có mức vốn hóa thị trường là 131 triệu USD thông qua mã thông báo gốc SCRT. Công ty đã hợp tác với đạo diễn Quentin Tarantino để ra mắt Secret NFTs vào tháng 11 năm ngoái.
