30 Kasım’da, gizlilik akıllı sözleşmeli blockchain Secret Network CEO’su Guy Zyskind, söz konusu geliştiricilerin gizlilikle ilgili bir güvenlik açığını yamaladığını ve kullanıcıların parasının güvende kaldığını. 29 Kasım tarihli bir belgede Secret Network, kullanıcıların veya geliştiricilerin herhangi bir işlem yapmasına gerek olmadığını ve tüm aktif düğümlerin 2 Kasım’da açığı düzeltmek için yükseltildiğini yazdı.
2/ Ana ayrıntılar için gönderiyi okuyabilirsiniz, ancak önemli olan, güvenlik açığının hafifletilmiş olması ve istismar edilme olasılığının düşük olmasıdır. En önemlisi, fonlar hiçbir zaman risk altında olmadı, çünkü Secret kasıtlı olarak doğruluk için SGX’e güvenmiyor – yalnızca mahremiyet.
— Guy Zyskind (@GuyZys) 29 Kasım 2022
Secret Network geliştiricileri tarafından dün geç saatlerde açıklanan olaylar dizisi, bir grup beyaz şapkalı bilgisayar bilimi araştırmacısının yakın zamanda açıklanan bir xAPIC (Gelişmiş Programlanabilir Kesinti Denetleyicisi) mimari hatasıyla ilgili olarak 3 Ekim’de Gizli ekiple iletişime geçmesiyle başladı. İstismar, belirli Software Guard Extension özellikli (SGX) Intel CPU’larda başlatılmamış bellek okumalarına izin verdi. Secret Network, akıllı sözleşmelerin gizli bir şekilde yürütülmesini sağlamak için SGX teknolojisinden yararlanır.
Makalelerinde belirtildiği gibi, araştırmacılar, işlemleri aktif olarak doğrulamak için yeterli fonları olmadığında bile, ilk önce bir sunucuyu Gizli Ağ üzerinde bir doğrulayıcı düğüm olarak kaydettirdiler. Kayıt işlemi daha sonra Secret’ın küresel mutabakat tohumunun bir kopyasını SGX yerleşim bölgesi içinde depoladı. Daha sonra, yukarıda belirtilen CPU aksaklığı aracılığıyla araştırmacılar, Gizli Düğümünün fikir birliği tohumunu ve özel Intel Enhanced Privacy ID anahtarını çıkardılar. Son olarak, bu öğelerle, Secret’ın gizliliği koruyan özelliklerini kırmayı ve ağdaki tüm akıllı sözleşmelerin dahili durumunun yanı sıra bunlara gömülü dijital varlıkların şifresini çözmeyi başardılar.
Gizli geliştiriciler, açıktan yararlanmayı 4 Ekim’de doğruladılar ve araştırmacılar ve Intel personeli ile birlikte güvenlik açığını gidermek için bir plan geliştirdiler. İlk olarak, düğümler ağdan zorla çıkarıldı ve gizli anahtarları silindi. Bundan sonra düğümler, 2 Kasım’da tamamlanan tüm bilinen güvenlik açıklarını yamaladıkları takdirde ağa yeniden katılabildiler. Gizli Ağ ekibi, “Bu yükseltmeyle, Gizli Ağ ana ağına karşı xAPIC saldırıları düzenlemek artık mümkün değil” diye yazdı.
Ek olarak, ağa katılan yeni düğümler, kullanıcı sınıfı donanımın sunduğu saldırı yüzeyini sınırlamak için yalnızca sunucu sınıfı donanımla sınırlı olacaktır. 2015 yılında kurulan Secret Network, şu anda yerel token SCRT aracılığıyla 131 milyon dolarlık bir piyasa değerine sahip. Firma, geçtiğimiz Kasım ayında Secret NFT’leri başlatmak için yönetmen Quentin Tarantino ile ortaklık kurdu.