Las billeteras multisig son vulnerables a ataques de aplicaciones Starknet, según el desarrollador Safeheron
Ciertos monederos multi-firma (multisig) pueden ser atacados por aplicaciones Web3 que utilizan el protocolo Starknet, según un comunicado de prensa del 9 de marzo proporcionado a Cointelegraph por el desarrollador de billeteras Multi-Party Computation (MPC), Safeheron. La vulnerabilidad afecta a los monederos MPC que interactúan con aplicaciones Starknet como dYdX. Según el comunicado de prensa, Safeheron está trabajando con los desarrolladores de aplicaciones para parchear la vulnerabilidad.
Según la documentación del protocolo de Safeheron, las billeteras MPC son utilizadas a veces por instituciones financieras y desarrolladores de aplicaciones Web3 para asegurar los criptoactivos que poseen. Al igual que una billetera multisig estándar, requieren múltiples firmas para cada transacción. Pero a diferencia de las billeteras multisig estándar, no requieren contratos inteligentes especializados para ser desplegadas en la blockchain, ni tienen que ser incorporados en el protocolo de la blockchain.
Estos monederos funcionan generando “fragmentos” de una clave privada, cada uno de los cuales pertenece a un firmante. Estos fragmentos deben unirse off-chain para producir una firma. Debido a esta diferencia, las billeteras MPC pueden tener tarifas de gas más bajas que otros tipos de multisigs y pueden no depender de una blockchain, según los documentos.
Los billeteras MPC suelen considerarse más seguros que las billeteras de firma única, dado que, por lo general, un atacante no puede hackaerlos a menos que comprometa más de un dispositivo.
Sin embargo, Safeheron afirma haber descubierto un fallo de seguridad que surge cuando estos monederos interactúan con aplicaciones basadas en Starknet, como dYdX y Fireblocks. Cuando estas aplicaciones “obtienen una stark_key_signature y/o api_key_signature”, pueden “eludir la protección de seguridad de las claves privadas en las billeteras MPC”, afirma la empresa en su comunicado de prensa. Esto puede permitir a un atacante abrir órdenes, realizar transferencias de capa 2, cancelar órdenes y realizar otras transacciones no autorizadas.
Safeheron dio a entender que la vulnerabilidad sólo filtra las claves privadas de los usuarios al proveedor de la billetera. Por tanto, mientras el proveedor no sea deshonesto y no haya sido tomado por un atacante, los fondos del usuario deberían estar a salvo. Sin embargo, argumentó que esto hace que el usuario dependa de la confianza en el proveedor de billetera. Esto puede permitir a los atacantes burlar la seguridad de la billetera atacando la propia plataforma, según explicó la empresa:
“La interacción entre las billeteras MPC y dYdX o dApps [aplicaciones descentralizadas] similares que utilizan claves derivadas de firmas socava el principio de autocustodia de las plataformas de billeteras MPC. Los clientes pueden saltarse las políticas de transacción predefinidas, y los empleados que han abandonado la organización pueden seguir conservando la capacidad de operar la dApp”.
La empresa ha declarado que está trabajando con los desarrolladores de aplicaciones Web3 Fireblocks, Fordefi, ZenGo y StarkWare para parchear la vulnerabilidad. También ha puesto el problema en conocimiento de dYdX. A mediados de marzo, Safeheron anunció su intención de convertir su protocolo en código abierto para ayudar a los desarrolladores de aplicaciones a parchear la vulnerabilidad.
Starknet es un protocolo Ethereum de capa 2 que utiliza Pruebas de Conocimiento Cero para asegurar la red. Cuando un usuario se conecta por primera vez a una aplicación Starknet, obtiene una clave STARK utilizando su billetera Ethereum común y corriente. Este es el proceso que, según Safeheron, está provocando la fuga de claves de las billeteras MPC.
Starknet intentó mejorar su seguridad y descentralización en febrero abriendo su prover.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.