Secret Network устраняет сетевую уязвимость после раскрытия «белой шляпы

30 ноября Гай Зискинд, генеральный директор блокчейна смарт-контрактов Secret Network, обеспечивающих конфиденциальность, заявил, что разработчики устранили уязвимость, связанную с конфиденциальностью, и средства пользователей остаются в безопасности. В документе от 29 ноября Secret Network написала, что пользователям или разработчикам не требуется никаких действий и что все активные узлы были обновлены для устранения уязвимости 2 ноября.

2/ Вы можете прочитать сообщение, чтобы узнать основные детали, но главное, что уязвимость была устранена и вряд ли могла быть использована. Самое главное, что средства никогда не подвергались риску, потому что Secret намеренно не полагается на SGX в плане корректности — только конфиденциальность.

— Гай Зискинд (@GuyZys) 29 ноября 2022 г.

Последовательность событий, раскрытая вчера поздно вечером разработчиками Secret Network, началась с того, что 3 октября группа исследователей в белых шляпах связалась с командой Secret по поводу недавно раскрытой ошибки в архитектуре xAPIC (Advanced Programmable Interrupt Controller). Эксплойт позволял считывать неинициализированную память в некоторых процессорах Intel с поддержкой расширения Software Guard Extension (SGX). Secret Network использует технологию SGX для обеспечения конфиденциального исполнения смарт-контрактов. 

Как говорится в статье, исследователи сначала зарегистрировали сервер в качестве узла-валидатора в Secret Network, даже когда у него не было достаточно средств, чтобы ему можно было доверять активное подтверждение транзакций. Затем в процессе регистрации сохранялась копия семени глобального консенсуса Secret в его анклаве SGX. Затем, с помощью вышеупомянутого сбоя процессора, исследователи извлекли семя консенсуса узла Secret и его закрытый ключ Intel Enhanced Privacy ID. Наконец, с помощью этих элементов они смогли нарушить функции Secret по сохранению конфиденциальности и расшифровать внутреннее состояние всех смарт-контрактов в сети, а также цифровые активы, встроенные в них. 

Разработчики Secret проверили эксплойт 4 октября и совместно с исследователями и сотрудниками Intel разработали план по устранению уязвимости. Сначала узлы были принудительно исключены из сети, а их секретные ключи удалены. После этого узлы могли вернуться в сеть, только если они устранили все известные уязвимости, что было завершено 2 ноября. «Благодаря этому обновлению теперь невозможно осуществить xAPIC-атаки на основную сеть Secret Network», — написала команда Secret Network.

Кроме того, новые узлы, присоединяющиеся к сети, будут ограничены аппаратным обеспечением серверного класса, только для того, чтобы ограничить поверхность атаки, которую представляет аппаратное обеспечение пользовательского класса. Основанная в 2015 году, компания Secret Network в настоящее время имеет рыночную капитализацию в размере 131 миллиона долларов США через свой токен SCRT. В ноябре прошлого года компания совместно с режиссером Квентином Тарантино запустила Secret NFTs.