Özel akıllı sözleşme blokzinciri Secret Network’ün CEO’su Guy Zyskind, 30 Kasım’da geliştiricilerin, gizlilikle ilgili bir güvenlik açığını kapattığını ve kullanıcıların fonlarının güvende olduğunu açıkladı. Secret Network, 29 Kasım tarihli bir belgede kullanıcıların veya geliştiricilerin herhangi bir işlem yapmasına gerek olmadığını ve tüm aktif düğümlerin açığı düzeltmek için 2 Kasım’da yükseltildiğini yazdı.
2/ You can read the post for the main details, but the important part is that the vulnerability was mitigated and unlikely to have been exploited. Most importantly, funds were never at risk, because Secret intentionally does not rely on SGX for correctness – only privacy.
— Guy Zyskind (@GuyZys) November 29, 2022
Secret Network geliştiricileri tarafından dün geç saatlerde açıklanan olaylar dizisi, bir grup beyaz şapkalı bilgisayar bilimi araştırmacısının yakın zamanda açıklanan bir xAPIC mimari hatasıyla ilgili olarak 3 Ekim’de Secret ekibiyle iletişime geçmesiyle başladı. İstismar, belirli Software Guard Extension özellikli (SGX) Intel CPU’larda başlatılmamış bellek okumalarına izin verdi. Secret Network, akıllı sözleşmelerin gizli bir şekilde yürütülmesini sağlamak için SGX teknolojisinden yararlanıyor.
Araştırmacılar, makalelerinde de belirtildiği gibi işlemleri aktif olarak doğrulamak için yeterli fonları olmadığında bile, ilk önce bir sunucuyu Secret Network üzerinde bir doğrulayıcı düğüm olarak kaydettirdi. Kayıt işlemi, daha sonra Secret’ın küresel konsensüs tohumunun bir kopyasını SGX yerleşim bölgesi içinde depoladı. Araştırmacılar daha sonra, yukarıda belirtilen CPU aksaklığı aracılığıyla Secret Node’nin konsensüs tohumunu ve özel Intel Enhanced Privacy ID anahtarını çıkardı. Araştırmacılar son olarak tüm bunlarla beraber Secret’ın gizliliği koruyan özelliklerini kırmayı ve ağdaki tüm akıllı sözleşmelerin dahili durumunun yanı sıra bunlara gömülü dijital varlıkların şifresini çözmeyi başardı.
Secret geliştiricileri, istismarı 4 Ekim’de doğruladı, ardından araştırmacı ve Intel personeliyle birlikte güvenlik açığını gidermek için bir plan geliştirdi. İlk olarak, düğümler ağdan zorla çıkarıldı ve gizli anahtarları silindi. Düğümler ardından 2 Kasım’da tamamlanan tüm bilinen güvenlik açıklarını düzelttikleri takdirde ağa yeniden katılabildi. Secret Network ekibi, “Bu yükseltmeyle beraber Secret Network ana ağına karşı xAPIC saldırıları düzenlemek artık mümkün değil,” ifadelerini kullandı.
Ayrıca ağa katılan yeni düğümler, kullanıcı sınıfı donanımın sunduğu saldırı yüzeyini sınırlamak için yalnızca sunucu sınıfı donanımla sınırlı olacak. 2015 yılında kurulan Secret Network, şu anda yerel tokeni SCRT aracılığıyla 131 milyon dolarlık bir piyasa değerine sahip. Firma, geçtiğimiz kasım ayında Secret NFT’leri başlatmak için yönetmen Quentin Tarantino ile ortaklık kurmuştu.