Bezpečnostní výskumníci nedávno odhalili kritickú zero-day zraniteľnosť v blockchaine TRON, ktorá by mohla potenciálne vystaviť kryptomene v hodnote 500 miliónov dolárov krádeži.
Zraniteľnosť, ktorú objavil výskumný tím 0d v laboratóriách dWallet, sa konkrétne zamerala na multisig účty na blockchaine TRON.
Účty Multisig vyžadujú na autorizáciu transakcie viacero podpisov. Chyba v prístupe TRON k multisig však umožnila každému podpisovateľovi spojenému s konkrétnym multisig účtom získať prístup k finančným prostriedkom v rámci tohto účtu nezávisle, bez toho, aby vyžadoval súhlas iných podpisovateľov.
Toto prehliadnutie v procese overovania TRON umožnilo útoku úplne obísť multisig bezpečnosť blockchainu.
Omer Sadika, člen výskumného tímu 0d, vysvetlil:
"Proces multisig overovania sa mohol obísť podpísaním rovnakej správy s nedeterministickými nonces... Jednoducho povedané, jeden podpisovateľ môže vytvoriť viacero platných podpisov pre rovnakú správu."
Riešenie tejto kritickej zraniteľnosti bolo relatívne jednoduché, pretože podpisy sa teraz kontrolujú so zoznamom adries a nespoliehajú sa len na zoznam podpisov.
Rýchla reakcia TRON na multisig bezpečnostnú chybu
Výskumný tím 0d okamžite 19. februára nahlásil zraniteľnosť prostredníctvom programu odmeňovania chýb TRON. TRON rýchlo opravoval zraniteľnosť v priebehu niekoľkých dní a výskumníci potvrdili, že väčšina validátorov TRON implementovala potrebné opravy.
V samostatnom vyhlásení na Twitteri výskumníci zdôraznili, že v súčasnosti nie sú ohrozené žiadne používateľské aktíva, keďže zraniteľnosť bola úspešne vyriešená.
TRON zatiaľ k incidentu nevydal svoje verejné vyhlásenie.
Najnovšie zraniteľnosti
Najnovší vývoj sa zhoduje s objavom významnej zraniteľnosti súkromia v rámci blockchainu Monero. Je pozoruhodné, že chyba Monero zostala v sieti neodhalená viac ako tri roky, kým bola identifikovaná a rýchlo vyriešená.
V ďalšej rane pre sektor DeFi sa protokol Jimbos, vybudovaný na sieti Arbitrum, stal obeťou vážneho zneužitia, ktoré malo za následok stratu 4,000 XNUMX éterov, čo zodpovedá približne $ 7.5 miliónov.
Nedávny vývoj poukazuje na dôležitosť prísnych bezpečnostných opatrení a dôkladných procesov auditu v blockchainových technológiách. Rýchla identifikácia a riešenie zraniteľných miest sú kľúčové pre zachovanie bezpečnosti a integrity sietí kryptomien.
Zdroj: https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/