El 30 de noviembre, Guy Zyskind, director ejecutivo de la cadena de bloques de contratos inteligentes de privacidad Secret Network, dijo que los desarrolladores habían parcheado una vulnerabilidad relacionada con la privacidad y los fondos de los usuarios permanecen seguros. En un documento fechado el 29 de noviembre, Secret Network escribió que los usuarios o desarrolladores no requerían ninguna acción y que todos los nodos activos se actualizaron para corregir el exploit el 2 de noviembre.
2/ Puede leer la publicación para conocer los detalles principales, pero la parte importante es que la vulnerabilidad fue mitigada y es poco probable que haya sido explotada. Lo que es más importante, los fondos nunca estuvieron en riesgo, porque Secret intencionalmente no confía en SGX para la corrección, solo la privacidad.
—Guy Zyskind (@GuyZys) 29 de noviembre.
La secuencia de eventos, dio a conocer a última hora de ayer por los desarrolladores de Secret Network, comenzó cuando un grupo de investigadores informáticos de sombrero blanco se puso en contacto con el equipo de Secret el 3 de octubre en relación con un error de arquitectura xAPIC (Advanced Programmable Interrupt Controller) recientemente revelado. El exploit permitió lecturas de memoria no inicializadas en ciertas CPU Intel habilitadas para Software Guard Extension (SGX). Secret Network aprovecha la tecnología SGX para proporcionar la ejecución confidencial de contratos inteligentes.
As dijo En su artículo, los investigadores primero registraron un servidor como un nodo de validación en la Red Secreta, incluso cuando no tenían fondos suficientes para confiar en ellos para validar activamente las transacciones. El proceso de registro luego almacenó una copia de la semilla de consenso global de Secret dentro de su enclave SGX. A continuación, a través de la falla de la CPU antes mencionada, los investigadores extrajeron la semilla de consenso de su Nodo secreto y su clave privada de ID de privacidad mejorada de Intel. Finalmente, con estos elementos, pudieron romper las funciones de preservación de la privacidad de Secret y descifrar el estado interno de todos los contratos inteligentes en la red, así como los activos digitales integrados en ellos.
Los desarrolladores secretos verificaron el exploit el 4 de octubre e idearon un plan para parchear la vulnerabilidad junto con los investigadores y el personal de Intel. En primer lugar, los nodos se expulsaron a la fuerza de la red y se eliminaron sus claves secretas. Después de eso, los nodos solo podían volver a unirse a la red si reparaban todas las vulnerabilidades conocidas, lo que se completó el 2 de noviembre. "Con esta actualización, ahora es inviable montar ataques xAPIC contra la red principal de Secret Network", escribió el equipo de Secret Network.
Además, los nuevos nodos que se unan a la red se limitarán únicamente al hardware de clase de servidor, para limitar la superficie de ataque que presenta el hardware de clase de usuario. Fundada en 2015, Secret Network actualmente tiene una capitalización de mercado de $131 millones a través de su token nativo SCRT. La firma se asoció con el director Quentin Tarantino para lanzar Secret NFT en noviembre pasado.
Fuente: https://cointelegraph.com/news/secret-network-resolves-network-vulnerability-following-white-hat-disclosure