Con solo 1.000 dólares y un soldador, aficionados burlaron la seguridad de servidores Intel por cientos de millones de dólares
Intel SGX deja de parecer una fortaleza inexpugnable.
Científicos de la Universidad Johns Hopkins y de varias otras universidades demostraron el primer ataque de su tipo contra la implementación de servidor de Intel SGX, con la extracción completa de la clave de atestación DCAP — todo ello empleando hardware que cuesta menos de $1000. Este ataque pone en riesgo no solo instancias individuales, sino sistemas Web3 enteros que confían en SGX como única fuente de confianza. Las plataformas vulnerables incluyen phala, secret y crust, cuya capitalización conjunta supera los $135 millones.
El método desarrollado por los atacantes utiliza la interposición en el bus de memoria DRAM (DIMM interposition) para observar el tráfico cifrado entre el procesador y los módulos de memoria DDR4. A diferencia de ataques anteriores que requerían equipos de laboratorio de decenas de miles de dólares, el nuevo esquema se basa en un analizador lógico económico, una reducción de la velocidad de la memoria a 1333 MT/s y un adaptador con aislamiento de señales casero.
La esencia del ataque radica en que SGX en las plataformas de servidor Intel Xeon Scalable se apoya en un tipo de cifrado — AES-XTS con una función tweak derivada de la dirección física. Este cifrado es determinista: si un mismo bloque de datos se escribe en la misma dirección, el resultado cifrado será idéntico. Esto permite construir diccionarios de textos cifrados y, a continuación, ataques por coincidencia de valores. Al observar la memoria en etapas clave de las operaciones criptográficas, los investigadores pudieron recuperar los valores del nonce empleado para la firma ECDSA y, posteriormente, la clave privada de atestación.
Con la clave extraída pudieron crear pruebas de atestación de SGX falsificadas que parecen válidas y están firmadas por hardware legítimo. Esto les permitió registrar nodos maliciosos en redes blockchain como phala y secret, eludiendo todos los mecanismos de verificación. Como resultado, el atacante obtuvo acceso a datos privados de contratos inteligentes y pudo descifrar transacciones que debían permanecer confidenciales. En el caso de la red crust, los investigadores demostraron cómo se puede emular un nodo de almacenamiento SGX y falsificar pruebas de posesión de datos, obteniendo recompensas por archivos que en realidad no se almacenaron.
Se destaca por separado que el ataque se realizó de forma íntegramente ética: las claves extraídas se obtuvieron únicamente de la propia máquina de los autores, y las pruebas en plataformas blockchain se efectuaron en un entorno aislado. Todas las partes vulnerables, incluida Intel, fueron notificadas con antelación y reconocieron el problema.
En conclusión, los autores proponen varias posibles vías de defensa: abandonar el cifrado determinista de la memoria, volver a esquemas con árboles de Merkle (Merkle Tree), reforzar las restricciones sobre nodos permitidos en redes sin permiso y pasar a sistemas de confianza distribuidos basados en MPC (computación multipartita). Sin embargo, de momento ninguna de estas medidas se ha implementado masivamente, por lo que los sistemas que utilizan SGX en cadenas de bloques públicas siguen siendo vulnerables a ataques con acceso físico — incluso si provienen de un entusiasta común y no de servicios de inteligencia.