Den 30. november, Guy Zyskind, CEO for privatliv smart kontrakt blockchain Secret Network, sagde at udviklere havde rettet en privatlivsrelateret sårbarhed, og brugernes midler forbliver sikre. I et dokument dateret 29. november skrev Secret Network, at brugere eller udviklere ikke krævede nogen handling, og at alle aktive noder blev opgraderet for at rette op på udnyttelsen den 2. november.
2/ Du kan læse indlægget for de vigtigste detaljer, men den vigtige del er, at sårbarheden blev afbødet og sandsynligvis ikke er blevet udnyttet. Vigtigst af alt var midler aldrig i fare, fordi Secret med vilje ikke stoler på SGX for korrekthed - kun privatliv.
— Guy Zyskind (@GuyZys) November 29, 2022
Begivenhedsforløbet, afsløret sent i går af Secret Network-udviklerne, begyndte, da en gruppe hvid-hat-computervidenskabsforskere kontaktede Secret-teamet den 3. oktober vedrørende en nyligt offentliggjort xAPIC (Advanced Programmable Interrupt Controller) arkitektonisk fejl. Udnyttelsen tillod uinitialiseret hukommelseslæsning i visse Software Guard Extension-aktiverede (SGX) Intel CPU'er. Secret Network udnytter SGX-teknologi til at levere fortrolig udførelse af smarte kontrakter.
As erklærede i deres papir registrerede forskere først en server som en valideringsnode på Secret Network, selv når de ikke havde tilstrækkelige midler til at være tillid til aktivt at validere transaktioner. Registreringsprocessen gemte derefter en kopi af Secrets globale konsensusfrø inde i dens SGX-enklave. Dernæst, gennem den førnævnte CPU-fejl, udtog forskerne konsensusfrøet af dens hemmelige node og dens private Intel Enhanced Privacy ID-nøgle. Endelig var de med disse genstande i stand til at bryde Secrets privatlivsbevarende funktioner og dekryptere den interne tilstand af alle smarte kontrakter på netværket, såvel som de digitale aktiver indlejret i dem.
Hemmelige udviklere bekræftede udnyttelsen den 4. oktober og udtænkte en plan for at rette op på sårbarheden sammen med forskere og Intel-medarbejdere. Først blev noder kraftigt slynget ud af netværket, og deres hemmelige nøgler blev slettet. Derefter kunne noder kun tilslutte sig netværket igen, hvis de fiksede alle kendte sårbarheder, hvilket blev afsluttet den 2. november. "Med denne opgradering er det nu umuligt at montere xAPIC-angreb mod Secret Networks mainnet," skrev Secret Network-teamet.
Derudover vil nye noder, der slutter sig til netværket, være begrænset til kun server-klasse hardware, for at begrænse den angrebsflade, som bruger-klasse hardware præsenterer. Secret Network blev grundlagt i 2015 og har i øjeblikket en markedsværdi på $131 millioner gennem sit oprindelige token SCRT. Firmaet gik sammen med direktør Quentin Tarantino for at lancere hemmelige NFT'er i november sidste år.
Kilde: https://cointelegraph.com/news/secret-network-resolves-network-vulnerability-following-white-hat-disclosure