秘密网络解决白帽披露后的网络漏洞

研究人员能够利用漏洞解密Secret的所有内部交易。

11月30日，隐私智能合约区块链Secret Network的首席执行官Guy Zyskind表示，开发人员已经修补了一个与隐私相关的漏洞，用户的资金仍然安全。在11月29日的一份文件中，Secret Network写道，用户或开发人员不需要采取任何行动，并且所有活动节点都在11月2日升级以纠正漏洞。

您可以阅读帖子以了解主要细节，但重要的是该漏洞已得到缓解，不太可能被利用。最重要的是，资金从未面临风险，因为Secret故意不依赖新交所的正确性 – 只依赖隐私。

昨天晚些时候由秘密网络开发人员公布的事件序列始于一群白帽计算机科学研究人员于10月3日就最近披露的xAPIC(高级可编程中断控制器)架构错误与秘密团队联系。该漏洞允许在某些启用软件防护扩展 (SGX) 的英特尔 CPU 中进行未初始化的内存读取。秘密网络利用新交所技术提供智能合约的保密执行。

正如他们的论文中所述，研究人员首先将服务器注册为秘密网络上的验证者节点，即使他们没有足够的资金来信任来积极验证交易。然后，注册过程在其新交所飞地内存储了Secret全球共识种子的副本。接下来，通过上述CPU故障，研究人员提取了其秘密节点的共识种子及其私有英特尔增强型隐私ID密钥。最后，通过这些项目，他们能够破解Secret的隐私保护功能，并解密网络上所有智能合约的内部状态，以及嵌入其中的数字资产。

秘密开发人员在10月4日验证了该漏洞，并与研究人员和英特尔工作人员一起制定了修补漏洞的计划。首先，节点被强行从网络中驱逐出去，它们的密钥被删除。之后，节点只有在修补所有已知漏洞的情况下才能重新加入网络，该漏洞于 11 月 2 日完成。“通过这次升级，现在对秘密网络主网发起xAPIC攻击是不可行的，”秘密网络团队写道。

此外，加入网络的新节点将仅限于服务器级硬件，以限制用户级硬件呈现的攻击面。Secret Network成立于2015年，目前通过其原生代币SCRT的市值为1.31亿美元。该公司与导演昆汀·塔伦蒂诺合作，于去年 11 月推出了秘密 NFT。