" Разработчики Secret Network устранили уязвимость, связанную с использованием оборудования Intel. Исследователи безопасности отметили уязвимость в микросхемах Intel SGX, используемых Secret для обеспечения конфиденциальности.
Приложения конфиденциальности блокчейна первого уровня Secret Network (SCRT) могли быть скомпрометированы из-за уязвимости в некоторых чипах Intel SGX под названием xAPIC или ÆPIC Leak.
Чипы Intel SGX обычно используются компаниями-разработчиками программного обеспечения для конфиденциальных вычислений. Узлы блокчейна Secret также используют их для шифрования данных в настройке программного обеспечения, называемой «доверенной средой выполнения (TEE)». Однако наличие уязвимости xAPIC также означает, что хакеры потенциально могут отслеживать системы, зависящие от SGX. Чтобы доказать риск, с которым сталкивается Secret, исследователи извлекли «консенсусный сид» для расшифровки всех частных транзакций в блокчейне Secret.
«Мы оценили блокчейн Secret Network на основе TEE, чтобы увидеть, подвержена ли она ÆPICLeak, и в итоге нашли главный ключ дешифрования для всей сети», — сказал Эндрю Миллер, ведущий исследователь отчета и доцент Университета Иллинойса.
Исследователи показали, что хакер-злоумышленник мог также получить всю историю транзакций в сети, вопреки обещанию Secret о полной конфиденциальности.
Средства вне опасности
В своем блоге SCRT Labs, разработчик Secret Network, заявила, что, насколько ей известно, такого инцидента, связанного с утечкой конфиденциальной информации, не было — добавление аппаратной уязвимости повлияло только на конфиденциальность данных, хранящихся в Secret Network, и «консенсусный сид» не использовался для определения консенсуса блокчейна.
«Самое главное, средства никогда не подвергались риску, потому что Secret намеренно не полагается на SGX для корректности — только на конфиденциальность», — сказал Гай Зискинд, генеральный директор SCRT Labs.
Исследователи впервые уведомили SCRT Labs об уязвимости 3 октября. SCRT Labs приостановила подключение новых узлов к сети, чтобы ограничить воздействие уязвимости.
Позже фирма, занимающаяся блокчейном, работала с Intel над разработкой исправления, предотвращающего подключение уязвимых машин к сети. Это решение было развернуто 2 ноября посредством обновления сети, и теперь сеть защищена лучше.
«Благодаря этому обновлению стало невозможно проводить атаки xAPIC на основную сеть Secret Network», — заявила SCRT Labs.
SCRT Labs заявила, что отложила раскрытие уязвимости, чтобы предотвратить ее использование каким-либо злонамеренным хакером, пока она работала над исправлением.
