Группа хакеров в белых шляпах сотрудничала с SCRT Labs, чтобы исправить недостаток, который мог полностью устранить анонимность блокчейна Secret Network. Хотя с тех пор были внесены исправления, потенциальная хрупкость конфиденциальности такого типа сети должна быть поставлена под сомнение.
Секретная сеть больше не может быть анонимной
Группа хакеров в белых шляпах выявила недостаток в работе команды SCRT Labs, отвечающей за разработку анонимного блокчейна Secret Network (SCRT). Этот недостаток теоретически позволял аннулировать конфиденциальность сети путем деанонимизации всех транзакций задним числом.
В действительности, сообщение об этой уязвимости поступило 3 октября, и были приняты незамедлительные меры. SCRT Labs решила отложить сообщение, чтобы дать возможность всесторонне изучить вопрос, не рискуя тем, что злоумышленник воспользуется дефектом до того, как будет готово полное решение.
Дефект не был специфичен для Secret Network, но содержался в процессорах Intel, используемых некоторыми узлами сети. Точнее, он затронул расширение под названием Software Guard Extensions (SGX), которое должно было защищать данные используемого программного обеспечения.
Проще говоря, злоумышленник мог при определенных условиях нарушить конфиденциальность данных истории блокчейна, сохраненных на уязвимом узле, и таким образом снять анонимность, восстановив главный ключ расшифровки:
Мы оценили блокчейн Secret Network на основе TEE, чтобы узнать, подвержен ли он AepicLeak, и в итоге нашли главный ключ расшифровки для всей сети. Узнайте больше и посмотрите демонстрацию тестовой сети на https://t.co/coe7EPXmrY https://t.co/E2pcoNSEsz
— Эндрю Миллер (@socrates1024) 29 ноября 2022
Компания SCRT Labs совместно с Intel и исследователями разработала обновление, которое предотвращает работу узла Secret Network на любой уязвимой машине.
Чтобы «ограничить поверхность атаки», SCRT Labs с тех пор также ограничила доступ к участию в сети только так называемым оборудованием «серверного класса». Кроме того, команды обещают уделить больше внимания функциям, связанным с безопасностью:
» Это позволит заинтересованным сторонам сети еще быстрее устранять любые подобные уязвимости в будущем, а также даст узлам инструменты для самопроверки. Здесь важно отметить, что ни разу средства пользователей сети не подвергались риску из-за этой уязвимости, и это не было виной Secret Network. Речь шла об анонимности блокчейна, который должен быть основополагающим столпом этой сети. Насколько известно SCRT Labs, дефект не был использован в реальных условиях, хотя, по правде говоря, официальной гарантии этого нет.
Этот случай говорит о том, что независимо от того, насколько охотно проект создает конфиденциальную сеть, она никогда не может быть конфиденциальной навсегда, поскольку технические средства совершенствуются или выявляются уязвимости.
