Secret Network resuelve una vulnerabilidad de la red gracias a investigadores informáticos
El 30 de noviembre, Guy Zyskind, CEO de la cadena de bloques de contratos inteligentes de privacidad Secret Network, dijo que los desarrolladores habían corregido una vulnerabilidad relacionada con la privacidad y que los fondos de los usuarios seguían siendo seguros. En un documento fechado el 29 de noviembre, Secret Network escribió que los usuarios o los desarrolladores no requerían ninguna acción y que todos los nodos activos se actualizaron para corregir el exploit el 2 de noviembre.
2/ You can read the post for the main details, but the important part is that the vulnerability was mitigated and unlikely to have been exploited. Most importantly, funds were never at risk, because Secret intentionally does not rely on SGX for correctness – only privacy.
— Guy Zyskind (@GuyZys) November 29, 2022
2/ Puede leer la publicación para conocer los detalles principales, pero la parte importante es que la vulnerabilidad fue mitigada y es poco probable que haya sido explotada. Lo que es más importante, los fondos nunca estuvieron en riesgo, porque Secret intencionalmente no confía en SGX para la corrección, solo la privacidad.
La secuencia de acontecimientos, desvelada ayer por los desarrolladores de Secret Network, comenzó cuando un grupo de investigadores informáticos whitehat se puso en contacto con el equipo de Secret el 3 de octubre en relación con un fallo arquitectónico xAPIC (Advanced Programmable Interrupt Controller) recientemente revelado. El fallo permitía la lectura de memoria no inicializada en ciertas CPUs Intel habilitadas para Software Guard Extension (SGX). Secret Network aprovecha la tecnología SGX para proporcionar una ejecución confidencial de los contratos inteligentes.
Como se indica en su documento, los investigadores primero registraron un servidor como nodo validador en la Secreta Network, incluso cuando no tenían fondos suficientes para que se confiara en ellos para validar activamente las transacciones. A continuación, el proceso de registro almacenó una copia de la semilla de consenso global de Secret dentro de su enclave SGX. A continuación, mediante el mencionado fallo de la CPU, los investigadores extrajeron la semilla de consenso de su nodo Secret y su clave privada Intel Enhanced Privacy ID. Finalmente, con estos elementos, fueron capaces de romper las características de preservación de la privacidad de Secret y descifrar el estado interno de todos los contratos inteligentes en la red, así como los activos digitales incrustados en ellos.
Los desarrolladores de Secret verificaron el fallo el 4 de octubre e idearon un plan para parchear la vulnerabilidad junto con los investigadores y el personal de Intel. En primer lugar, los nodos fueron expulsados por la fuerza de la red y sus claves secretas fueron eliminadas. Después, los nodos solo podían volver a unirse a la red si parcheaban todas las vulnerabilidades conocidas, lo que se completó el 2 de noviembre. “Con esta actualización, ahora es inviable montar ataques xAPIC contra la red principal de Secret Network”, escribió el equipo de Secret Network.
Además, los nuevos nodos que se unan a la red estarán limitados a hardware de clase servidor, para limitar la superficie de ataque que presenta el hardware de clase usuario. Fundada en 2015, Secret Network tiene actualmente una capitalización de mercado de USD 131 millones a través de su token nativo SCRT. La empresa se asoció con el director Quentin Tarantino para lanzar los NFT secretos el pasado noviembre.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.