Un gruppo di hacker white hat ha collaborato con SCRT Labs per correggere una falla che avrebbe potuto eliminare completamente l’anonimato della blockchain Secret Network. Sebbene siano state apportate delle correzioni, la potenziale fragilità della privacy di questo tipo di rete deve essere messa in discussione.
La rete segreta non può più essere anonima
Un gruppo di pirati informatici ha rivelato una falla al team SCRT Labs, responsabile dello sviluppo della blockchain anonima Secret Network (SCRT). Questa falla permetteva teoricamente di annullare la riservatezza della rete deanonimizzando tutte le transazioni in modo retroattivo.
In realtà, questa vulnerabilità è stata segnalata il 3 ottobre e sono stati presi provvedimenti immediati. SCRT Labs ha scelto di ritardare la comunicazione per consentire di affrontare la questione in modo approfondito, senza rischiare che un attore malintenzionato sfruttasse la falla prima che fosse disponibile una soluzione completa.
La falla non era specifica della Secret Network, ma risiedeva nei processori Intel utilizzati da alcuni nodi della rete. Più precisamente, il problema riguardava un’estensione chiamata Software Guard Extensions (SGX), che avrebbe dovuto proteggere i dati del software utilizzato.
Per farla semplice, un attore malintenzionato potrebbe, in determinate condizioni, aver violato la riservatezza dei dati di una cronologia blockchain salvata su un nodo vulnerabile, e quindi revocare l’anonimato recuperando la chiave di decrittazione principale:
Abbiamo valutato la blockchain Secret Network basata su TEE per vedere se fosse suscettibile di AepicLeak e abbiamo finito per trovare la chiave di decrittazione principale per l’intera rete. Per saperne di più e vedere una demo della rete di prova, visitate https://t.co/coe7EPXmrY https://t.co/E2pcoNSEsz
– Andrew Miller (@socrates1024) November 29, 2022
I laboratori SCRT hanno collaborato con Intel e i ricercatori per sviluppare un aggiornamento che impedisce a qualsiasi macchina vulnerabile di operare un nodo Secret Network.
Per “limitare la superficie di attacco”, SCRT Labs ha da allora limitato l’accesso alla partecipazione alla rete solo all’hardware cosiddetto “di classe server”. Inoltre, i team promettono di concentrarsi su un maggior numero di funzionalità legate alla sicurezza:
” Ciò consentirà agli operatori di rete di affrontare eventuali future vulnerabilità simili in modo ancora più rapido, oltre a fornire ai nodi strumenti per l’autoverifica. È importante notare che in nessun momento i fondi degli utenti della rete sono stati messi a rischio da questa vulnerabilità, né è stata colpa di Secret Network. Il problema era l’anonimato della blockchain, che dovrebbe essere il pilastro fondamentale di questa rete. Per quanto ne sa SCRT Labs, la falla non è stata sfruttata in condizioni reali, anche se in verità non esiste una garanzia formale in tal senso.
Questo caso suggerisce che, per quanto un progetto sia disposto a creare una rete confidenziale, questa potrebbe non essere mai confidenziale per sempre, dato che i mezzi tecnici avanzano o le vulnerabilità vengono identificate.
