MPC(Multi-Party Computation) 지갑 개발자 Safeheron이 코인텔레그래프에 제공한 3월 9일자 보도 자료에 따르면 특정 다중 서명(multisig) 지갑은 Starknet 프로토콜을 사용하는 WebXNUMX 앱에서 악용될 수 있습니다. 이 취약점은 dYdX와 같은 Starknet 앱과 상호 작용하는 MPC 지갑에 영향을 미칩니다. 보도 자료에 따르면 Safeheron은 앱 개발자와 협력하여 취약점을 패치하고 있습니다.
Safeheron의 프로토콜 문서에 따르면 MPC 지갑은 때때로 금융 기관 및 Web3 앱 개발자가 소유한 암호화 자산을 보호하는 데 사용됩니다. 표준 다중서명 지갑과 유사하게 필요 각 트랜잭션에 대한 다중 서명. 그러나 표준 다중서명과 달리 블록체인에 배포하기 위해 전문화된 스마트 계약이 필요하지 않으며 블록체인의 프로토콜에 구축될 필요도 없습니다.
대신, 이러한 지갑은 개인 키의 "샤드"를 생성하여 작동하며 각 샤드는 한 명의 서명자가 보유합니다. 서명을 생성하려면 이러한 샤드를 오프체인에서 결합해야 합니다. 이 차이로 인해 MPC 지갑은 다른 유형의 다중 서명보다 가스 요금이 낮을 수 있으며 문서에 따르면 블록체인에 구애받지 않을 수 있습니다.
MPC 지갑은 더 안전한 것으로 간주되는 경우가 많습니다. 하나 이상의 장치를 손상시키지 않는 한 공격자가 일반적으로 해킹할 수 없기 때문에 단일 서명 지갑보다
그러나 Safeheron은 이러한 지갑이 dYdX 및 Fireblocks와 같은 Starknet 기반 앱과 상호 작용할 때 발생하는 보안 결함을 발견했다고 주장합니다. 이 앱이 "stark_key_signature 및/또는 api_key_signature를 획득"하면 "MPC 지갑에 있는 개인 키의 보안 보호를 우회"할 수 있다고 회사는 보도 자료에서 밝혔습니다. 이를 통해 공격자는 주문을 하고, 계층 2 전송을 수행하고, 주문을 취소하고, 기타 승인되지 않은 거래에 참여할 수 있습니다.
관련 : 새로운 "제로 가치 이전" 사기는 이더리움 사용자를 표적으로 삼고 있습니다.
Safeheron은 이 취약점이 사용자의 개인 키를 지갑 공급자에게만 유출한다고 암시했습니다. 따라서 지갑 제공자 자체가 부정직하지 않고 공격자에 의해 탈취되지 않는 한 사용자의 자금은 안전해야 합니다. 그러나 이것은 사용자가 지갑 공급자에 대한 신뢰에 의존하게 만든다고 주장했습니다. 이를 통해 공격자는 플랫폼 자체를 공격하여 지갑의 보안을 우회할 수 있습니다.
“MPC 지갑과 dYdX 또는 서명 파생 키를 사용하는 유사한 dApp[분산형 애플리케이션] 간의 상호 작용은 MPC 지갑 플랫폼의 자체 보관 원칙을 약화시킵니다. 고객은 사전 정의된 거래 정책을 우회할 수 있으며 조직을 떠난 직원은 여전히 dApp을 운영할 수 있는 능력을 유지할 수 있습니다.”
이 회사는 취약점을 패치하기 위해 Web3 앱 개발자인 Fireblocks, Fordefi, ZenGo 및 StarkWare와 협력하고 있다고 말했습니다. 또한 dYdX가 문제를 인식하도록 만들었다고 말했습니다. XNUMX월 중순에 회사는 앱 개발자가 취약점을 패치할 수 있도록 프로토콜을 오픈 소스로 만들 계획입니다.
Cointelegraph는 dYdX에 연락을 시도했지만 게시 전에 응답을 받을 수 없었습니다.
StarkWare의 제품 책임자인 Avihu Levy는 Cointelegraph에 회사가 이 문제에 대한 인식을 높이고 수정을 제공하는 데 도움을 주려는 Safeheron의 시도에 박수를 보내며 다음과 같이 말했습니다.
“Safeheron이 이 문제에 초점을 맞춘 프로토콜을 오픈 소싱하는 것이 좋습니다.[…]우리는 개발자가 범위가 제한적이지만 모든 통합에서 발생해야 하는 모든 보안 문제를 해결하도록 권장합니다. 여기에는 지금 논의되고 있는 문제가 포함됩니다.
스타크넷 2층이다 이더리움 프로토콜 영지식 증명을 사용합니다. 네트워크를 보호합니다. 사용자가 Starknet 앱에 처음 연결하면 일반 이더리움 지갑을 사용하여 STARK 키를 파생합니다. Safeheron은 이 과정에서 MPC 지갑의 키가 유출되었다고 말합니다.
Starknet은 XNUMX월에 보안 및 분산화를 개선하려고 시도했습니다. 증명자를 오픈 소싱.
출처: https://cointelegraph.com/news/multisig-wallets-vulnerable-to-exploitation-by-starknet-apps-says-developer-safeheron