Eine Gruppe von White Hat Hackern arbeitete mit SCRT Labs zusammen, um eine Schwachstelle zu beheben, die die Anonymität der Secret Network Blockchain vollständig hätte aufheben können. Zwar wurden mittlerweile Lösungen gefunden, aber es stellt sich die Frage, wie anfällig die Vertraulichkeit eines solchen Netzwerks sein könnte.
Secret Network könnte nicht mehr anonym sein
Eine Gruppe von White Hat-Hackern hat den Teams von SCRT Labs, die für die Entwicklung der anonymen Blockchain Secret Network (SCRT) verantwortlich sind, eine Schwachstelle aufgedeckt. Diese Schwachstelle ermöglichte es theoretisch, die Vertraulichkeit des Netzwerks aufzuheben, indem alle Transaktionen rückwirkend deanonymisiert wurden.
In Wirklichkeit wurde die Schwachstelle am 3. Oktober gemeldet und es wurden sofort Maßnahmen ergriffen. SCRT Labs entschied sich für eine spätere Bekanntgabe, damit die Angelegenheit gründlich behandelt werden konnte, ohne das Risiko einzugehen, einem böswilligen Akteur die Gelegenheit zu geben, die Schwachstelle auszunutzen, bevor eine vollständige Lösung vorlag.
Die Sicherheitslücke war nicht spezifisch für das Secret Network, sondern befand sich in Intel-Prozessoren, die von einigen Knotenpunkten des Netzwerks verwendet wurden. Genauer gesagt betraf sie eine Erweiterung namens Software Guard Extensions (SGX), die gerade die Daten der verwendeten Software schützen sollte.
Um es einfach auszudrücken: Ein böswilliger Akteur hätte unter bestimmten Bedingungen die Vertraulichkeit der Daten eines Blockchain-Verlaufs, der auf einem verwundbaren Knoten gespeichert war, brechen und so die Anonymität aufheben können, indem er den Hauptentschlüsselungsschlüssel erlangt hätte:
We evaluierten TEE-basierte Blockchain Secret Network, um zu sehen, ob sie anfällig für AepicLeak war, und fanden schließlich den Master-Entschlüsselungsschlüssel für das gesamte Netzwerk. Lesen Sie mehr und sehen Sie eine Testnet-Demo unter https://t.co/coe7EPXmrY https://t.co/E2pcoNSEsz
– Andrew Miller (@socrates1024) November 29, 2022
Problem behoben, aber fraglich
Die Teams der SCRT Labs haben in Zusammenarbeit mit Intel und Forschern ein Update entwickelt, das verhindert, dass eine anfällige Maschine einen Knoten des Secret Network betreiben kann.
Um „die Angriffsfläche zu begrenzen“, hat SCRT Labs seither auch den Zugang zur Teilnahme am Netzwerk nur auf Hardware der sogenannten „Serverklasse“ beschränkt. Darüber hinaus versprechen die Teams, sich auf mehr sicherheitsrelevante Funktionen zu konzentrieren:
“ Dies wird es den Netzwerkbeteiligten ermöglichen, noch schneller auf ähnliche zukünftige Schwachstellen zu reagieren, sowie den Knoten Werkzeuge zur Selbstüberprüfung an die Hand zu geben. Diese Entwicklungen werden auch die Abhängigkeit von Secret von externen Diensten verringern. „
Es ist wichtig zu erwähnen, dass die Gelder der Netzwerkbenutzer zu keinem Zeitpunkt durch diese Schwachstelle gefährdet waren, die auch nicht von Secret Network verursacht wurde. Vielmehr war die Anonymität der Blockchain betroffen, die eigentlich der Grundpfeiler des Netzwerks sein sollte. Soweit SCRT Labs bekannt ist, wurde die Sicherheitslücke nicht unter realen Bedingungen ausgenutzt, obwohl es in Wahrheit keine formelle Garantie dafür gibt.
Dieser Fall legt die Vermutung nahe, dass, egal wie sehr ein Projekt ein vertrauliches Netzwerk aufbauen will, es möglicherweise nie für immer vertraulich sein wird, da die technischen Mittel fortschreiten oder Schwachstellen identifiziert werden.
