ກະເປົາເງິນຫຼາຍລາຍເຊັນ (multisig) ທີ່ແນ່ນອນສາມາດຖືກຂູດຮີດໂດຍແອັບ Web3 ທີ່ໃຊ້ໂປຣໂຕຄໍ Starknet, ອີງຕາມການຖະແຫຼງຂ່າວໃນວັນທີ 9 ມີນາທີ່ສະໜອງໃຫ້ Cointelegraph ໂດຍຜູ້ພັດທະນາກະເປົາເງິນຫຼາຍຝ່າຍ (MPC) Safeheron. ຊ່ອງໂຫວ່ມີຜົນກະທົບກັບກະເປົາເງິນ MPC ທີ່ພົວພັນກັບແອັບ Starknet ເຊັ່ນ dYdX. ອີງຕາມການຖະແຫຼງຂ່າວ, Safeheron ກໍາລັງເຮັດວຽກຮ່ວມກັບຜູ້ພັດທະນາ app ເພື່ອແກ້ໄຂຈຸດອ່ອນ.
ອີງຕາມເອກະສານໂປໂຕຄອນຂອງ Safeheron, ບາງຄັ້ງກະເປົາເງິນ MPC ແມ່ນໃຊ້ໂດຍສະຖາບັນການເງິນ ແລະນັກພັດທະນາແອັບ Web3 ເພື່ອຮັບປະກັນຊັບສິນ crypto ທີ່ພວກເຂົາເປັນເຈົ້າຂອງ. ຄ້າຍຄືກັນກັບກະເປົາເງິນ multisig ມາດຕະຖານ, ພວກເຂົາ ຕ້ອງການ ຫຼາຍລາຍເຊັນສໍາລັບແຕ່ລະທຸລະກໍາ. ແຕ່ບໍ່ເຫມືອນກັບ multisigs ມາດຕະຖານ, ພວກມັນບໍ່ຕ້ອງການສັນຍາສະຫມາດພິເສດທີ່ຈະຖືກນໍາໄປໃຊ້ກັບ blockchain, ແລະພວກເຂົາບໍ່ຈໍາເປັນຕ້ອງສ້າງຢູ່ໃນໂປໂຕຄອນຂອງ blockchain.
ແທນທີ່ຈະ, ກະເປົາເງິນເຫຼົ່ານີ້ເຮັດວຽກໂດຍການສ້າງ "shards" ຂອງກະແຈສ່ວນຕົວ, ໂດຍແຕ່ລະ shard ຖືກຖືໂດຍຜູ້ລົງນາມ. shards ເຫຼົ່ານີ້ຕ້ອງໄດ້ຮັບການຮ່ວມກັນນອກລະບົບຕ່ອງໂສ້ເພື່ອຜະລິດລາຍເຊັນ. ເນື່ອງຈາກວ່າຄວາມແຕກຕ່າງນີ້, ກະເປົ໋າ MPC ສາມາດມີຄ່າທໍານຽມອາຍແກັສຕ່ໍາກວ່າປະເພດອື່ນໆຂອງ multisigs ແລະສາມາດ blockchain agnostic, ອີງຕາມເອກະສານ.
ກະເປົາເງິນ MPC ແມ່ນ ມັກຈະເຫັນວ່າປອດໄພກວ່າ ຫຼາຍກ່ວາກະເປົາເງິນລາຍເຊັນດຽວ, ເພາະວ່າໂດຍທົ່ວໄປແລ້ວຜູ້ໂຈມຕີບໍ່ສາມາດ hack ພວກມັນໄດ້ເວັ້ນເສຍແຕ່ວ່າພວກເຂົາປະນີປະນອມຫຼາຍກວ່າຫນຶ່ງອຸປະກອນ.
ຢ່າງໃດກໍຕາມ, Safeheron ອ້າງວ່າໄດ້ຄົ້ນພົບຂໍ້ບົກພ່ອງດ້ານຄວາມປອດໄພທີ່ເກີດຂື້ນເມື່ອກະເປົາເງິນເຫຼົ່ານີ້ພົວພັນກັບແອັບຯທີ່ໃຊ້ Starknet ເຊັ່ນ dYdX ແລະ Fireblocks. ເມື່ອແອັບຯເຫຼົ່ານີ້ "ໄດ້ຮັບ stark_key_signature ແລະ/ຫຼື api_key_signature," ພວກເຂົາສາມາດ "ຂ້າມການປົກປ້ອງຄວາມປອດໄພຂອງກະແຈສ່ວນຕົວໃນກະເປົາເງິນ MPC," ບໍລິສັດກ່າວໃນຖະແຫຼງການຂອງຕົນ. ນີ້ສາມາດອະນຸຍາດໃຫ້ຜູ້ໂຈມຕີວາງຄໍາສັ່ງ, ປະຕິບັດການໂອນຊັ້ນ 2, ຍົກເລີກການສັ່ງຊື້, ແລະດໍາເນີນທຸລະກໍາອື່ນໆທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ.
ທີ່ກ່ຽວຂ້ອງ: ການຫລອກລວງ "ການໂອນມູນຄ່າສູນ" ໃຫມ່ແມ່ນເປົ້າຫມາຍຜູ້ໃຊ້ Ethereum
Safeheron ຊີ້ແຈງວ່າຊ່ອງໂຫວ່ດັ່ງກ່າວຈະຮົ່ວໄຫລກະແຈສ່ວນຕົວຂອງຜູ້ໃຊ້ໄປຫາຜູ້ໃຫ້ບໍລິການກະເປົາເງິນເທົ່ານັ້ນ. ດັ່ງນັ້ນ, ຕາບໃດທີ່ຜູ້ໃຫ້ບໍລິການ wallet ຕົວຂອງມັນເອງບໍ່ຊື່ສັດແລະບໍ່ໄດ້ຮັບການປະຕິບັດໂດຍຜູ້ໂຈມຕີ, ກອງທຶນຂອງຜູ້ໃຊ້ຄວນຈະປອດໄພ. ຢ່າງໃດກໍ່ຕາມ, ມັນໄດ້ໂຕ້ຖຽງວ່ານີ້ເຮັດໃຫ້ຜູ້ໃຊ້ຂຶ້ນກັບຄວາມໄວ້ວາງໃຈໃນຜູ້ໃຫ້ບໍລິການກະເປົາເງິນ. ນີ້ສາມາດອະນຸຍາດໃຫ້ຜູ້ໂຈມຕີຫລີກລ້ຽງຄວາມປອດໄພຂອງກະເປົາເງິນໂດຍການໂຈມຕີແພລະຕະຟອມຂອງມັນເອງ, ດັ່ງທີ່ບໍລິສັດໄດ້ອະທິບາຍວ່າ:
"ການຕິດຕໍ່ພົວພັນລະຫວ່າງກະເປົາເງິນ MPC ແລະ dYdX ຫຼື dApps ທີ່ຄ້າຍຄືກັນ [ຄໍາຮ້ອງສະຫມັກທີ່ມີການແບ່ງຂັ້ນຄຸ້ມຄອງ] ທີ່ໃຊ້ກະແຈທີ່ມາຈາກລາຍເຊັນເຮັດໃຫ້ທໍາລາຍຫຼັກການຂອງການຄຸ້ມຄອງຕົນເອງສໍາລັບເວທີ MPC wallet. ລູກຄ້າອາດຈະສາມາດຂ້າມນະໂຍບາຍການເຮັດທຸລະກໍາທີ່ກໍານົດໄວ້ລ່ວງຫນ້າ, ແລະພະນັກງານຜູ້ທີ່ໄດ້ອອກຈາກອົງການຈັດຕັ້ງອາດຈະຍັງຄົງຮັກສາຄວາມສາມາດໃນການດໍາເນີນການ dApp ໄດ້."
ບໍລິສັດກ່າວວ່າມັນກໍາລັງເຮັດວຽກຮ່ວມກັບນັກພັດທະນາແອັບ Web3 Fireblocks, Fordefi, ZenGo, ແລະ StarkWare ເພື່ອແກ້ໄຂຊ່ອງໂຫວ່. ມັນຍັງເຮັດໃຫ້ dYdX ຮູ້ກ່ຽວກັບບັນຫາ, ມັນເວົ້າ. ໃນກາງເດືອນມີນາ, ບໍລິສັດວາງແຜນທີ່ຈະເຮັດໃຫ້ໂປໂຕຄອນ open source ຂອງຕົນໃນຄວາມພະຍາຍາມເພື່ອຊ່ວຍໃຫ້ຜູ້ພັດທະນາ app ແກ້ໄຂຊ່ອງໂຫວ່ຕື່ມອີກ.
Cointelegraph ໄດ້ພະຍາຍາມຕິດຕໍ່ກັບ dYdX, ແຕ່ບໍ່ສາມາດໄດ້ຮັບການຕອບຮັບກ່ອນການພິມເຜີຍແຜ່.
Avihu Levy, ຫົວຫນ້າຜະລິດຕະພັນຂອງ StarkWare ບອກ Cointelegraph ວ່າບໍລິສັດຊົມເຊີຍຄວາມພະຍາຍາມຂອງ Safeheron ທີ່ຈະປູກຈິດສໍານຶກກ່ຽວກັບບັນຫາແລະຊ່ວຍແກ້ໄຂ, ໂດຍກ່າວວ່າ:
“ມັນດີຫຼາຍທີ່ Safeheron ກໍາລັງເປີດແຫຼ່ງໂປຣໂຕຄໍທີ່ເນັ້ນໃສ່ສິ່ງທ້າທາຍນີ້[…]ພວກເຮົາຊຸກຍູ້ໃຫ້ນັກພັດທະນາແກ້ໄຂສິ່ງທ້າທາຍດ້ານຄວາມປອດໄພທີ່ຄວນຈະເກີດຂຶ້ນກັບການເຊື່ອມໂຍງໃດໆ, ແນວໃດກໍ່ຕາມຈໍາກັດຂອບເຂດຂອງມັນ. ນີ້ລວມເຖິງສິ່ງທ້າທາຍທີ່ກໍາລັງສົນທະນາໃນປັດຈຸບັນ.
Starknet ເປັນຊັ້ນ 2 ອະນຸສັນຍາ Ethereum ນັ້ນ ໃຊ້ຫຼັກຖານຄວາມຮູ້ທີ່ບໍ່ມີສູນ ເພື່ອຮັບປະກັນເຄືອຂ່າຍ. ເມື່ອຜູ້ໃຊ້ເຊື່ອມຕໍ່ກັບແອັບ Starknet ທໍາອິດ, ພວກເຂົາໄດ້ຮັບລະຫັດ STARK ໂດຍໃຊ້ກະເປົາເງິນ Ethereum ທໍາມະດາຂອງພວກເຂົາ. ມັນແມ່ນຂະບວນການນີ້ທີ່ Safeheron ເວົ້າວ່າເປັນຜົນໃຫ້ກະແຈຮົ່ວໄຫລສໍາລັບກະເປົາເງິນ MPC.
Starknet ພະຍາຍາມປັບປຸງຄວາມປອດໄພແລະການກະຈາຍອໍານາດໃນເດືອນກຸມພາໂດຍ open-sourcing prover ຂອງຕົນ.
ທີ່ມາ: https://cointelegraph.com/news/multisig-wallets-vulnerable-to-exploitation-by-starknet-apps-says-developer-safeheron