Op 30 november heeft Guy Zyskind, CEO van privacy smart contract blockchain Secret Network, zei dat ontwikkelaars een privacygerelateerde kwetsbaarheid hadden gepatcht en dat het geld van gebruikers veilig bleef. In een document van 29 november schreef Secret Network dat gebruikers of ontwikkelaars geen actie hoefden te ondernemen en dat alle actieve nodes op 2 november waren geüpgraded om de exploit te corrigeren.
2/ Je kunt het bericht lezen voor de belangrijkste details, maar het belangrijkste is dat de kwetsbaarheid is verkleind en waarschijnlijk niet is misbruikt. Het belangrijkste is dat fondsen nooit in gevaar zijn geweest, omdat Secret opzettelijk niet op SGX vertrouwt voor correctheid - alleen privacy.
— Guy Zyskind (@GuyZys) 29 november 2022
De volgorde van gebeurtenissen, onthuld gisteren laat door de Secret Network-ontwikkelaars, begon toen een groep white-hat computerwetenschappelijke onderzoekers op 3 oktober contact opnam met het Secret-team over een onlangs onthulde xAPIC (Advanced Programmable Interrupt Controller) architecturale bug. De exploit stond niet-geïnitialiseerde geheugenlezingen toe in bepaalde Software Guard Extension-enabled (SGX) Intel CPU's. Secret Network maakt gebruik van SGX-technologie om vertrouwelijke uitvoering van slimme contracten te bieden.
As bepaald in hun paper registreerden onderzoekers eerst een server als een validatieknooppunt op het geheime netwerk, zelfs als ze niet voldoende geld hadden om te worden vertrouwd om transacties actief te valideren. Het registratieproces bewaarde vervolgens een kopie van het wereldwijde consensuszaad van Secret in zijn SGX-enclave. Vervolgens haalden onderzoekers door de eerder genoemde CPU-glitch het consensuszaad van zijn Secret Node en zijn privé Intel Enhanced Privacy ID-sleutel. Eindelijk konden ze met deze items de privacybeschermende functies van Secret doorbreken en de interne status van alle slimme contracten op het netwerk decoderen, evenals de digitale activa die erin zijn ingebed.
Geheime ontwikkelaars hebben de exploit op 4 oktober geverifieerd en hebben samen met onderzoekers en Intel-medewerkers een plan bedacht om de kwetsbaarheid te patchen. Eerst werden knooppunten met geweld uit het netwerk verwijderd en hun geheime sleutels verwijderd. Daarna konden nodes alleen weer verbinding maken met het netwerk als ze alle bekende kwetsbaarheden hadden gepatcht, wat op 2 november was voltooid. "Met deze upgrade is het nu onhaalbaar om xAPIC-aanvallen uit te voeren op het Secret Network-mainnet", schreef het Secret Network-team.
Bovendien zullen nieuwe knooppunten die zich bij het netwerk aansluiten, worden beperkt tot hardware van serverklasse, om het aanvalsoppervlak van hardware van gebruikersklasse te beperken. Secret Network, opgericht in 2015, heeft momenteel een marktkapitalisatie van $ 131 miljoen via zijn native token SCRT. Het bedrijf werkte afgelopen november samen met regisseur Quentin Tarantino om geheime NFT's te lanceren.
Bron: https://cointelegraph.com/news/secret-network-resolves-network-vulnerability-following-white-hat-disclosure