Grupa hakerów white hat współpracowała z SCRT Labs, aby naprawić wadę, która mogła całkowicie usunąć anonimowość blockchaina Secret Network. Choć od tego czasu wprowadzono poprawki, należy poddać w wątpliwość potencjalną kruchość prywatności w tego typu sieci.
Sekretna sieć może już nie być anonimowa
Grupa hakerów białych kapeluszy ujawniła wadę zespołu SCRT Labs, odpowiedzialnego za rozwój anonimowego blockchaina Secret Network (SCRT). Ta wada teoretycznie pozwalała na unieważnienie poufności sieci poprzez deanonimizację wszystkich transakcji wstecz.
W rzeczywistości luka ta została zgłoszona 3 października i podjęto natychmiastowe działania. SCRT Labs zdecydowało się opóźnić swój komunikat, aby umożliwić dogłębne zajęcie się sprawą, nie ryzykując możliwości wykorzystania luki przez złośliwego aktora, zanim dostępne będzie pełne rozwiązanie.
Dziura nie była specyficzna dla Secret Network, ale znajdowała się w procesorach Intela używanych przez niektóre węzły sieci. Dokładniej rzecz biorąc, dotyczył on rozszerzenia o nazwie Software Guard Extensions (SGX), które miało chronić dane wykorzystywanego oprogramowania.
Upraszczając, złośliwy aktor mógł w pewnych warunkach złamać poufność danych historii blockchain zapisanej na podatnym węźle, a tym samym znieść anonimowość, odzyskując główny klucz deszyfrujący:
Oceniliśmy oparty na TEE blockchain Secret Network, aby sprawdzić, czy jest on podatny na AepicLeak, a skończyło się na znalezieniu głównego klucza deszyfrującego dla całej sieci. Przeczytaj więcej i zobacz demo sieci testowej na https://t.co/coe7EPXmrY https://t.co/E2pcoNSEsz
– Andrew Miller (@socrates1024) 29 listopada 2022
SCRT Labs współpracował z Intelem i badaczami, aby opracować aktualizację, która uniemożliwia każdej podatnej maszynie obsługę węzła Secret Network.
Aby „ograniczyć powierzchnię ataku”, SCRT Labs od tego czasu ograniczyło również dostęp do udziału w sieci tylko do tzw. sprzętu klasy „serwerowej”. Dodatkowo zespoły obiecują, że skupią się na większej ilości funkcji związanych z bezpieczeństwem:
” Pozwoli to interesariuszom sieci na jeszcze szybsze radzenie sobie z podobnymi przyszłymi podatnościami, jak również da węzłom narzędzia do samodzielnego sprawdzania. Należy tu zaznaczyć, że w żadnym momencie środki użytkowników sieci nie były zagrożone przez tę lukę, ani nie była to wina Secret Network. Chodziło o anonimowość blockchaina, który ma być podstawowym filarem tej sieci. Z tego co wiadomo SCRT Labs, luka nie została wykorzystana w warunkach rzeczywistych, choć prawdę mówiąc nie ma na to formalnej gwarancji.
Przypadek ten sugeruje, że niezależnie od tego, jak bardzo projekt jest skłonny do stworzenia poufnej sieci, może ona nigdy nie być poufna na zawsze, ponieważ środki techniczne posuwają się naprzód, a podatności są identyfikowane.
