Secret Network : des white hats ont permis la correction d’une faille annulant la confidentialité

Secret Network pourrait ne plus être anonyme

Un groupe de hacker white hats a revélé une faille aux équipes de SCRT Labs, en charge du développement de la blockchain anonyme Secret Network (SCRT). Cette faille permettait théoriquement d’annuler la confidentialité du réseau en désanonymisant toutes les transactions de manière rétroactive.

En réalité, cette vulnérabilité a été signalée le 3 octobre dernier et des mesures ont été prises immédiatement. SCRT Labs a ainsi choisi de retarder sa communication pour permettre de traiter l’affaire en profondeur, sans risquer de donner l’occasion à un acteur malveillant de profiter de la faille avant l’arrivée d’une solution complète.

Ladite faille n’était pas propre à Secret Network, mais résidait dans des processeurs Intel utilisés par certains nœuds du réseau. Plus précisément, elle touche une extension appelée Software Guard Extensions (SGX), censée justement protéger les données des logiciels utilisés.

Pour rester simple, un acteur malveillant aurait pu, dans certaines conditions, briser la confidentialité des données d’un historique de la blockchain sauvegardé sur un nœud vulnérable, et lever ainsi l’anonymat en récupérant la clé de déchiffrement principale :

We evaluated TEE-based blockchain Secret Network to see if it was susceptible to AepicLeak, and ended up finding the master decryption key for the whole network. Read more and see a testnet demo at https://t.co/coe7EPXmrY https://t.co/E2pcoNSEsz

— Andrew Miller (@socrates1024) November 29, 2022

? Pour aller plus loin – Retrouvez notre guide sur les bonnes pratiques pour limiter le risque de hack

Un problème corrigé, mais qui interroge

Les équipes de SCRT Labs ont travaillé en collaboration avec celles d’Intel et des chercheurs, afin de développer une mise à jour empêchant toute machine vulnérable d’opérer un nœud de Secret Network.

Pour « limiter la surface d’attaque », SCRT Labs a depuis également restreint l’accès à la participation au réseau au matériel dit de « classe serveur » uniquement. Par ailleurs, les équipes promettent de se concentrer sur plus de fonctionnalités liées à la sécurité :

« Cela permettra aux parties prenantes du réseau de traiter encore plus rapidement toute vulnérabilité future similaire, ainsi que de donner aux nœuds des outils pour s’autovérifier. Ces développements limiteront également la dépendance de Secret à tout service externe. »

Il est important de noter ici qu’à aucun moment les fonds des utilisateurs du réseau n’ont couru un risque vis-à-vis de cette faille, qui n’était d’ailleurs pas du fait de Secret Network. C’est bel et bien l’anonymat de la blockchain qui était concerné, pourtant censé être le pilier fondamental de ce réseau. À la connaissance de SCRT Labs, la faille n’a pas été exploitée en conditions réelles, bien qu’en vérité, rien ne peut garantir cela de manière formelle.

Cette affaire amène à penser que, quelle que soit la volonté d’un projet à créer un réseau confidentiel, il pourrait ne jamais l’être éternellement, à mesure que les moyens techniques progressent ou que des vulnérabilités sont identifiées.

? Dans l’actualité également – Le portefeuille Phantom de Solana s’ouvre à Ethereum et Polygon

Source : SCRT Labs

Depuis 2021, je consacre mon temps libre à me former sérieusement sur les cryptomonnaies afin d'acquérir un maximum de connaissances et de crédibilité. J'ai souvent l'opportunité de réaliser des interviews de personnalités influentes de l'industrie blockchain. Je mène également des analyses approfondies sur des thématiques du Web3 pour proposer du contenu exclusif aux lecteurs de Cryptoast.

Vincent Maire

2462 articles

Tous ses articles