Een groep white hat hackers werkte samen met SCRT Labs om een fout te herstellen die de anonimiteit van de Secret Network blockchain volledig had kunnen verwijderen. Hoewel er sindsdien verbeteringen zijn aangebracht, moeten er vraagtekens worden geplaatst bij de potentiële kwetsbaarheid van de privacy van dit soort netwerken.
Secret Network mag niet langer anoniem zijn
Een groep white hats hackers heeft een fout onthuld aan het SCRT Labs team, belast met de ontwikkeling van de Secret Network anonymous blockchain (SCRT). Door deze fout kon in theorie de vertrouwelijkheid van het netwerk worden opgeheven door alle transacties met terugwerkende kracht te de-anonimiseren.
In werkelijkheid werd deze kwetsbaarheid op 3 oktober gemeld en werd onmiddellijk actie ondernomen. SCRT Labs koos ervoor zijn mededeling uit te stellen om de zaak grondig te kunnen behandelen, zonder het risico te lopen dat een kwaadwillende actor van het gebrek zou profiteren voordat een volledige oplossing beschikbaar was.
Het lek was niet specifiek voor het Secret Network, maar zat in Intel-processoren die door sommige knooppunten van het netwerk werden gebruikt. Meer bepaald ging het om een extensie genaamd Software Guard Extensions (SGX), die de gegevens van de gebruikte software moest beschermen.
Om het eenvoudig te houden: een kwaadwillende actor zou, onder bepaalde omstandigheden, de vertrouwelijkheid van de gegevens van een blockchain-geschiedenis die op een kwetsbaar knooppunt is opgeslagen, kunnen hebben doorbroken, en zo de anonimiteit kunnen opheffen door de belangrijkste ontcijferingssleutel te achterhalen:
We hebben het op TEE gebaseerde blockchain Secret Network geëvalueerd om te zien of het vatbaar was voor AepicLeak, en vonden uiteindelijk de hoofdontcijferingssleutel voor het hele netwerk. Lees meer en bekijk een testnet-demo op https://t.co/coe7EPXmrY https://t.co/E2pcoNSEsz
– Andrew Miller (@socrates1024) November 29, 2022
SCRT Labs werkte samen met Intel en onderzoekers om een update te ontwikkelen die voorkomt dat elke kwetsbare machine een Secret Network-knooppunt kan bedienen.
Om “het aanvalsoppervlak te beperken” heeft SCRT Labs sindsdien ook de toegang tot netwerkdeelname beperkt tot zogenaamde “serverklasse” hardware. Daarnaast beloven de teams zich te richten op meer veiligheidsgerelateerde functies:
” Dit zal netwerkbeheerders in staat stellen eventuele soortgelijke toekomstige kwetsbaarheden nog sneller aan te pakken, en knooppunten de middelen geven om zichzelf te controleren. Het is belangrijk hier op te merken dat op geen enkel moment het geld van de netwerkgebruikers in gevaar kwam door deze kwetsbaarheid, noch was het de schuld van Secret Network. Het ging om de anonimiteit van de blockchain, die de fundamentele pijler van dit netwerk zou moeten zijn. Voor zover SCRT Labs weet, is de fout niet in reële omstandigheden uitgebuit, hoewel er in werkelijkheid geen formele garantie hiervoor bestaat.
Dit geval suggereert dat hoe bereid een project ook is om een vertrouwelijk netwerk te creëren, het nooit voor altijd vertrouwelijk kan zijn, naarmate de technische middelen vorderen of kwetsbaarheden aan het licht komen.
