Il 30 novembre, Guy Zyskind, CEO di Privacy Smart Contract Blockchain Secret Network, disse che gli sviluppatori hanno corretto una vulnerabilità relativa alla privacy e che i fondi degli utenti rimangono al sicuro. In un documento datato 29 novembre, Secret Network ha scritto che gli utenti o gli sviluppatori non hanno richiesto alcuna azione e che tutti i nodi attivi sono stati aggiornati per correggere l'exploit il 2 novembre.
2/ Puoi leggere il post per i dettagli principali, ma la parte importante è che la vulnerabilità è stata mitigata ed è improbabile che sia stata sfruttata. Ancora più importante, i fondi non sono mai stati a rischio, perché Secret intenzionalmente non fa affidamento su SGX per la correttezza, ma solo per la privacy.
— Guy Zyskind (@GuyZys) 29 Novembre 2022
La sequenza degli eventi, svelato nella tarda serata di ieri dagli sviluppatori di Secret Network, è iniziato quando un gruppo di ricercatori informatici white-hat ha contattato il team Secret il 3 ottobre in merito a un bug architettonico xAPIC (Advanced Programmable Interrupt Controller) recentemente rivelato. L'exploit consentiva letture di memoria non inizializzate in alcune CPU Intel SGX (Software Guard Extension-enabled). Secret Network sfrutta la tecnologia SGX per fornire l'esecuzione riservata di contratti intelligenti.
As ha dichiarato nel loro documento, i ricercatori hanno prima registrato un server come nodo di convalida sulla rete segreta, anche quando non disponevano di fondi sufficienti per essere considerati affidabili per convalidare attivamente le transazioni. Il processo di registrazione ha quindi archiviato una copia del seme di consenso globale di Secret all'interno della sua enclave SGX. Successivamente, attraverso il suddetto problema tecnico della CPU, i ricercatori hanno estratto il seme di consenso del suo nodo segreto e la sua chiave privata Intel Enhanced Privacy ID. Infine, con questi elementi, sono stati in grado di violare le funzionalità di protezione della privacy di Secret e decrittografare lo stato interno di tutti i contratti intelligenti sulla rete, nonché le risorse digitali in essi incorporate.
Gli sviluppatori segreti hanno verificato l'exploit il 4 ottobre e hanno escogitato un piano per correggere la vulnerabilità insieme ai ricercatori e al personale Intel. Innanzitutto, i nodi sono stati espulsi con la forza dalla rete e le loro chiavi segrete sono state eliminate. Successivamente, i nodi potevano ricongiungersi alla rete solo se correggevano tutte le vulnerabilità note, che è stata completata il 2 novembre. "Con questo aggiornamento, ora è impossibile montare attacchi xAPIC contro la mainnet di Secret Network", ha scritto il team di Secret Network.
Inoltre, i nuovi nodi che si uniranno alla rete saranno limitati solo all'hardware di classe server, in modo da limitare la superficie di attacco che presenta l'hardware di classe utente. Fondata nel 2015, Secret Network ha attualmente una capitalizzazione di mercato di $ 131 milioni attraverso il suo token nativo SCRT. L'azienda ha collaborato con il regista Quentin Tarantino per lanciare Secret NFT lo scorso novembre.
Fonte: https://cointelegraph.com/news/secret-network-resolves-network-vulnerability-following-white-hat-disclosure