Multi-Party Computation (MPC) капчыкты иштеп чыгуучу Safeheron тарабынан Cointelegraphга 3-мартта берилген пресс-релизге ылайык, белгилүү бир көп кол тамгалуу (мультисиг) капчыктарды Starknet протоколун колдонгон Web9 колдонмолору пайдалана алат. Алсыздык dYdX сыяктуу Starknet колдонмолору менен иштешкен MPC капчыктарына таасирин тийгизет. Пресс-релизге ылайык, Safeheron алсыздыкты оңдоо үчүн колдонмону иштеп чыгуучулар менен иштешүүдө.
Safeheron протоколунун документтерине ылайык, MPC капчыктарын кээде каржы институттары жана Web3 тиркемесин иштеп чыгуучулар өздөрү ээлик кылган крипто активдерин коргоо үчүн колдонушат. стандарттуу multisig капчыкты окшош, алар талап кылуу ар бир транзакция үчүн бир нече кол коюу. Бирок стандарттуу мультисигдерден айырмаланып, алар блокчейнге жайгаштырылышы үчүн адистештирилген акылдуу контракттарды талап кылбайт жана блокчейндин протоколуна кирүүнү талап кылбайт.
Анын ордуна, бул капчыктар жеке ачкычтын “сыныктарын” түзүү менен иштешет, ар бир сынык бир кол коюучуга таандык. Кол коюу үчүн бул сыныктарды чынжырдан тышкары бириктирүү керек. Бул айырмачылыктан улам, MPC капчыктары мультисигдердин башка түрлөрүнө караганда азыраак газ төлөмүнө ээ болушу мүмкүн жана документтерге ылайык, блокчейн агностикалык болушу мүмкүн.
MPC капчыктар болуп саналат көбүнчө коопсузураак деп эсептелет жалгыз кол капчыктарга караганда, анткени чабуулчу бир нече түзмөктү бузумайынча аларды бузуп кете албайт.
Бирок, Safeheron бул капчыктар dYdX жана Fireblocks сыяктуу Starknet негизиндеги колдонмолор менен иштешкенде пайда болгон коопсуздук кемчилигин таптым деп ырастайт. Бул колдонмолор "stark_key_signature жана/же api_key_signature алганда", алар "MPC капчыктарындагы купуя ачкычтардын коопсуздук коргоосун айланып өтүшү мүмкүн", - деп айтылат компаниянын пресс-релизинде. Бул чабуулчуга буйрутмаларды коюуга, 2-кабат которууларды аткарууга, буйрутмаларды жокко чыгарууга жана башка уруксатсыз транзакцияларды жасоого мүмкүндүк берет.
байланыштуу: Жаңы "нөлдүк которуу" алдамчылыгы Ethereum колдонуучуларына багытталган
Safeheron алсыздык капчык провайдерине колдонуучулардын купуя ачкычтарын гана чыгарат деп билдирген. Ошондуктан, капчык провайдери өзү чынчыл эмес жана чабуулчу тарабынан колго алынбаса, колдонуучунун каражаттары коопсуз болушу керек. Бирок, бул колдонуучуну капчык провайдерине болгон ишенимден көз каранды кылат деп ырастады. Бул чабуулчуларга платформанын өзүнө кол салуу менен капчыктын коопсуздугун айланып өтүүгө мүмкүндүк берет, анткени компания түшүндүргөн:
"MPC капчыктары менен dYdX же ушуга окшош dApps [борбордон ажыратылган тиркемелер] ортосундагы өз ара аракеттенүү кол тамгадан алынган ачкычтарды колдонгон MPC капчык платформалары үчүн өзүн-өзү сактоо принцибине доо кетирет. Кардарлар алдын ала аныкталган транзакция саясатын айланып өтүшү мүмкүн, ал эми уюмдан кеткен кызматкерлер dApp менен иштөө мүмкүнчүлүгүн сактап кала алышат."
Компания алсыздыкты жоюу үчүн Web3 тиркемесин иштеп чыгуучулар Fireblocks, Fordefi, ZenGo жана StarkWare менен иштеп жатканын билдирди. Ал ошондой эле dYdXди көйгөй тууралуу кабардар кылды, деди ал. Март айынын орто ченинде компания колдонмону иштеп чыгуучуларга алсыздыкты оңдоого жардам берүү максатында өзүнүн протоколун ачык булак кылууну пландаштырууда.
Cointelegraph dYdX менен байланышууга аракет кылды, бирок жарыяланганга чейин жооп ала алган жок.
StarkWare продуктунун жетекчиси Авиху Леви Cointelegraph компаниясына компания Safeheronдун бул маселе боюнча маалымдуулугун жогорулатуу жана оңдоого жардам берүү аракетин кубаттай турганын айтты:
“Safeheron бул көйгөйгө көңүл бурган протоколду ачык булагы болуп жатканы абдан жакшы[…]Биз иштеп чыгуучуларга анын масштабы чектелүү болсо да, ар кандай интеграцияда пайда болгон бардык коопсуздук көйгөйлөрүн чечүүгө чакырабыз. Буга азыр талкууланып жаткан чакырык да кирет.
Starknet катмар 2 болуп саналат Ethereum протоколу нөлдүк билим далилдерди колдонот тармагын коргоо үчүн. Колдонуучу биринчи жолу Starknet колдонмосуна туташканда, алар кадимки Ethereum капчыгын колдонуп STARK ачкычын алышат. Дал ушул процесс Safeheron MPC капчыктары үчүн ачкычтардын ачыкка чыгышына алып келет дейт.
Starknet өзүнүн коопсуздугун жана децентралдаштырууну февраль айында жакшыртууга аракет кылды ачык булак анын провери.
Булак: https://cointelegraph.com/news/multisig-wallets-vulnerable-to-exploitation-by-starknet-apps-says-developer-safeheron