Secret Network, to projekt ekosystemu Cosmos, który zapewnia użytkownikom prywatność dzięki wykorzystaniu technologii TEE bazując na Intel SGX.
Intel Software Guard Extensions (SGX) to technologia zabezpieczeń wbudowana w procesory Intel, która pomaga chronić dane dzięki obietnicy odizolowanego środowiska wykonawczego, które chroni przed innym oprogramowaniem działającym na komputerze.
Niestety od dłuższego czasu rozwiązanie od Intel spotyka się z krytyką, aż w końcu niezależna grupa badaczy zdecydowała się obnażyć problemy SGX wykorzystując do tego między innymi Secret Network.
Our survey of SGX attacks is out! Come learn about how SGX fails in real life. Check out our website https://t.co/JTAGNGuHld including attacks on @SecretNetwork and @CyberLink PowerDVD.
— Stephan van Schaik (@themadstephan) November 29, 2022
Jaki błąd odnaleziono?
Jak możemy wyczytać w raporcie, Secret Network było podatne na luki xAPIC i MMIO, które zostały ujawnione publicznie 9 sierpnia 2022 r. Mogły one zostać wykorzystane do wyodrębnienia głównego klucza deszyfrującego dla prywatnych transakcji w tajnej sieci.
Co to oznacza? Ujawnienie tego klucza oznaczałoby możliwość deszyfracji wszystkich prywatnych transakcji jakie miały miejsce na Secret Network od początku działania sieci!
Co istotne i warte dodania oprócz ujawnienia danych transakcji, które jawne być nie powinny, sieci nie groziło żadne inne niebezpieczeństwo. W razie wykorzystania tych luk w zabezpieczeniach użytkownicy po prostu zostaliby pozbawieni obiecywanej przez Secret Network prywatności, a historia sieci stałaby się całkowicie jawna.
Jak napisano na blogu projektu SCRT, dzięki współpracy z badaczami udało się załatać luki i nie stwierdzono żadnej niepożądanej aktywności, choć jak możemy wyczytać w podsumowaniu raportu, nie ma sposobu, aby bez wątpliwości stwierdzić, czy ten atak był już wcześniej podejmowany.
Decyzja o krótkim opóźnieniu tego publicznego raportu została uzgodniona w porozumieniu z innymi zaangażowanymi stronami. Zrobiono to, aby jak najlepiej zapewnić, że luka nie będzie wykorzystana, a także aby zapewnić najlepszą ochronę użytkowników i ich danych.
Swój komunikat na Twitterze opublikował także Guy Zyskind, założyciel Secret Network, który potwierdził, że środki użytkowników nigdy nie były zagrożone, gdyż Secret Network polega na SGX tylko w sprawach prywatności.
W swoim wpisie odniósł się także do przyszłości sieci i tego gdzie zmierzają z aktualizacjami związanymi z Secret 2.0:
1/ I'd like to go into more detail and share some thoughts that may not be obvious to many.
— Guy Zyskind (@GuyZys) November 29, 2022
But first, let me say that I’m extremely proud of how @scrt_labs effectively handled this disclosure and worked with the researchers to protect our users and community.
A thread ... https://t.co/aOb7mi5NeS
Dodał także, że "TEE są pierwszą fazą i chociaż mają swój udział w ogólnym rozwiązaniu, nie są celem końcowym."
Co dalej?
Na blogu podano dalsze i natychmiastowe kroki, którymi są:
- Nowe węzły dołączające do sieci będą ograniczone tylko do sprzętu klasy serwerowej
- SCRT Labs będzie bardziej koncentrować się na rozwoju funkcji zorientowanych na bezpieczeństwo sieci. Umożliwi to jeszcze szybsze radzenie sobie z podobnymi przyszłymi lukami w zabezpieczeniach, a samym węzłom zapewni narzędzia do samokontroli. Zmiany te ograniczą również zależność Secret od wszelkich usług zewnętrznych.
- SCRT Labs zintensyfikuje komunikację z firmą Intel, aby upewnić się, że interesariusze sieci otrzymają wczesne ostrzeżenie o wszelkich przyszłych nieujawnionych lukach w zabezpieczeniach.
Kryptowaluty takie jak właśnie Secret Network, które starają się robić coś innego niż reszta, są nadal w fazie eksperymentalnej i warto o tym pamiętać.