Le 30 novembre, Guy Zyskind, PDG de la chaîne de blocs de contrats intelligents de confidentialité Secret Network, a affirmé Valérie Plante. que les développeurs avaient corrigé une vulnérabilité liée à la confidentialité et que les fonds des utilisateurs restent sécurisés. Dans un document daté du 29 novembre, Secret Network a écrit que les utilisateurs ou les développeurs n'avaient besoin d'aucune action et que tous les nœuds actifs avaient été mis à niveau pour corriger l'exploit le 2 novembre.
2/ Vous pouvez lire le message pour les principaux détails, mais l'important est que la vulnérabilité a été atténuée et qu'il est peu probable qu'elle ait été exploitée. Plus important encore, les fonds n'ont jamais été menacés, car Secret ne s'appuie pas intentionnellement sur SGX pour l'exactitude - uniquement sur la confidentialité.
– Guy Zyskind (@GuyZys) 29 novembre 2022
La suite des événements, dévoilé tard hier par les développeurs de Secret Network, a commencé lorsqu'un groupe de chercheurs en informatique chapeau blanc a contacté l'équipe Secret le 3 octobre concernant un bogue architectural xAPIC (Advanced Programmable Interrupt Controller) récemment divulgué. L'exploit permettait des lectures de mémoire non initialisées dans certains processeurs Intel compatibles avec l'extension Software Guard (SGX). Secret Network exploite la technologie SGX pour fournir une exécution confidentielle de contrats intelligents.
As A déclaré dans leur article, les chercheurs ont d'abord enregistré un serveur en tant que nœud de validation sur le réseau secret, même lorsqu'ils ne disposaient pas de fonds suffisants pour valider activement les transactions. Le processus d'enregistrement a ensuite stocké une copie de la graine de consensus mondial de Secret dans son enclave SGX. Ensuite, grâce au problème de processeur susmentionné, les chercheurs ont extrait la graine consensuelle de son nœud secret et de sa clé d'identification privée Intel Enhanced Privacy. Enfin, avec ces éléments, ils ont pu briser les fonctionnalités de protection de la vie privée de Secret et décrypter l'état interne de tous les contrats intelligents sur le réseau, ainsi que les actifs numériques qui y sont intégrés.
Les développeurs secrets ont vérifié l'exploit le 4 octobre et ont conçu un plan pour corriger la vulnérabilité avec les chercheurs et le personnel d'Intel. Tout d'abord, les nœuds ont été éjectés de force du réseau et leurs clés secrètes supprimées. Après cela, les nœuds ne pouvaient rejoindre le réseau que s'ils corrigeaient toutes les vulnérabilités connues, ce qui a été achevé le 2 novembre. "Avec cette mise à niveau, il est désormais impossible de monter des attaques xAPIC contre le réseau principal de Secret Network", a écrit l'équipe de Secret Network.
De plus, les nouveaux nœuds rejoignant le réseau seront limités au matériel de classe serveur uniquement, afin de limiter la surface d'attaque que présente le matériel de classe utilisateur. Fondé en 2015, Secret Network a actuellement une capitalisation boursière de 131 millions de dollars via son jeton SCRT natif. La société s'est associée au réalisateur Quentin Tarantino pour lancer Secret NFT en novembre dernier.
Source : https://cointelegraph.com/news/secret-network-resolves-network-vulnerability-following-white-hat-disclosure