Secret Network : des white hats ont permis la correction d’une faille annulant la confidentialité
Un groupe de hacker white hat a collaboré avec SCRT Labs, pour corriger une faille qui aurait pu lever entièrement l’anonymat de la blockchain Secret Network. Si des solutions ont depuis été apportées, il convient de s’interroger sur la fragilité potentielle de la confidentialité de ce type de réseau.
Secret Network pourrait ne plus être anonyme
Un groupe de hacker white hats a revélé une faille aux équipes de SCRT Labs, en charge du développement de la blockchain anonyme Secret Network (SCRT). Cette faille permettait théoriquement d’annuler la confidentialité du réseau en désanonymisant toutes les transactions de manière rétroactive.
En réalité, cette vulnérabilité a été signalée le 3 octobre dernier et des mesures ont été prises immédiatement. SCRT Labs a ainsi choisi de retarder sa communication pour permettre de traiter l’affaire en profondeur, sans risquer de donner l’occasion à un acteur malveillant de profiter de la faille avant l’arrivée d’une solution complète.
Ladite faille n’était pas propre à Secret Network, mais résidait dans des processeurs Intel utilisés par certains nœuds du réseau. Plus précisément, elle touche une extension appelée Software Guard Extensions (SGX), censée justement protéger les données des logiciels utilisés.
Pour rester simple, un acteur malveillant aurait pu, dans certaines conditions, briser la confidentialité des données d’un historique de la blockchain sauvegardé sur un nœud vulnérable, et lever ainsi l’anonymat en récupérant la clé de déchiffrement principale :
We evaluated TEE-based blockchain Secret Network to see if it was susceptible to AepicLeak, and ended up finding the master decryption key for the whole network. Read more and see a testnet demo at https://t.co/coe7EPXmrY https://t.co/E2pcoNSEsz
— Andrew Miller (@socrates1024) November 29, 2022
? Pour aller plus loin – Retrouvez notre guide sur les bonnes pratiques pour limiter le risque de hack
Ledger : la meilleure solution pour protéger vos cryptomonnaies 🔒Un problème corrigé, mais qui interroge
Les équipes de SCRT Labs ont travaillé en collaboration avec celles d’Intel et des chercheurs, afin de développer une mise à jour empêchant toute machine vulnérable d’opérer un nœud de Secret Network.
Pour « limiter la surface d’attaque », SCRT Labs a depuis également restreint l’accès à la participation au réseau au matériel dit de « classe serveur » uniquement. Par ailleurs, les équipes promettent de se concentrer sur plus de fonctionnalités liées à la sécurité :
« Cela permettra aux parties prenantes du réseau de traiter encore plus rapidement toute vulnérabilité future similaire, ainsi que de donner aux nœuds des outils pour s’autovérifier. Ces développements limiteront également la dépendance de Secret à tout service externe. »
Il est important de noter ici qu’à aucun moment les fonds des utilisateurs du réseau n’ont couru un risque vis-à-vis de cette faille, qui n’était d’ailleurs pas du fait de Secret Network. C’est bel et bien l’anonymat de la blockchain qui était concerné, pourtant censé être le pilier fondamental de ce réseau. À la connaissance de SCRT Labs, la faille n’a pas été exploitée en conditions réelles, bien qu’en vérité, rien ne peut garantir cela de manière formelle.
Cette affaire amène à penser que, quelle que soit la volonté d’un projet à créer un réseau confidentiel, il pourrait ne jamais l’être éternellement, à mesure que les moyens techniques progressent ou que des vulnérabilités sont identifiées.
? Dans l’actualité également – Le portefeuille Phantom de Solana s’ouvre à Ethereum et Polygon
Cryptoast Academy : 75% de réduction avant le Black Friday pour fêter le bullrunSource : SCRT Labs
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.
Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.
Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.
Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.