Cercetătorii în domeniul securității au dezvăluit recent o vulnerabilitate critică de tip zero-day în blockchain-ul TRON, care ar putea expune la furt criptomonede în valoare de 500 de milioane de dolari.
Vulnerabilitatea, descoperită de echipa de cercetare 0d de la laboratoarele dWallet, a vizat în mod special conturile multisig din blockchain-ul TRON.
Conturile Multisig necesită semnături multiple pentru a autoriza o tranzacție. Cu toate acestea, defectul în abordarea TRON cu privire la multisig a permis oricărui semnatar asociat cu un anumit cont multisig să obțină acces independent la fondurile din acel cont, fără a necesita aprobarea altor semnatari.
Această supraveghere în procesul de verificare al TRON a permis atacului să ocolească în întregime securitatea multisig a blockchain-ului.
Omer Sadika, membru al echipei de cercetare 0d, a explicat:
„Procesul de verificare multisig ar fi putut fi ocolit prin semnarea aceluiași mesaj cu non-uri nedeterministe... Mai simplu spus, un semnatar poate crea mai multe semnături valide pentru același mesaj.”
Soluția la această vulnerabilitate critică a fost relativ simplă, deoarece semnăturile sunt acum verificate pe o listă de adrese, mai degrabă decât să se bazeze doar pe o listă de semnături.
Răspunsul rapid al TRON la defectele de securitate multisig
Echipa de cercetare 0d a raportat cu promptitudine vulnerabilitatea prin programul TRON de recompensare a erorilor pe 19 februarie. TRON a corectat rapid vulnerabilitatea în câteva zile, iar cercetătorii au confirmat că majoritatea validatorilor TRON au implementat corecțiile necesare.
Într-o declarație separată pe Twitter, cercetătorii au subliniat că niciun bun al utilizatorului nu este în prezent în pericol, deoarece vulnerabilitatea a fost rezolvată cu succes.
Deocamdată, TRON nu și-a emis declarația publică cu privire la incident.
Vulnerabilitati mai recente
Cea mai recentă dezvoltare coincide cu descoperirea unei vulnerabilități semnificative de confidențialitate în cadrul blockchain-ului Monero. În special, eroarea Monero a rămas nedetectată în rețea timp de peste trei ani înainte de a fi identificată și rezolvată prompt.
Într-o altă lovitură pentru sectorul DeFi, Protocolul Jimbos, construit pe rețeaua Arbitrum, a căzut victima unei exploatări severe care a dus la pierderea a 4,000 Ether, echivalentul a aproximativ $ 7.5 de milioane de.
Evoluțiile recente subliniază importanța măsurilor de securitate riguroase și a proceselor de audit amănunțite în tehnologiile blockchain. Identificarea și abordarea rapidă a vulnerabilităților este crucială pentru menținerea securității și integrității rețelelor de criptomonede.
Sursa: https://crypto.news/security-firm-expposes-500m-vulnerability-in-trons-multisig-accounts/