Sikkerhetsfirmaet avslører $500 millioner sårbarhet i TRONs multisig-kontoer

Sikkerhetsforskere har nylig avslørt en kritisk nulldagers sårbarhet i TRON-blokkjeden som potensielt kan utsette kryptovaluta verdt 500 millioner dollar for tyveri.

Sårbarheten, oppdaget av 0d-forskningsteamet ved dWallet-labs, var spesifikt rettet mot multisig-kontoer på TRON-blokkjeden.

0d, vårt superstjerneforskningsteam for cybersikkerhet, oppdaget en sårbarhet i TRON multisig-kontoer som setter over 500 millioner dollar med digitale eiendeler i fare – den ble avslørt og fikset, så det er ingen brukereiendeler i fare nå.
Et teknisk sammenbrudd: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) Kan 30, 2023

Multisig-kontoer krever flere signaturer for å autorisere en transaksjon. Feilen i TRONs tilnærming til multisig tillot imidlertid enhver underskriver tilknyttet en bestemt multisig-konto å få tilgang til midlene på den kontoen uavhengig, uten å kreve godkjenning fra andre underskrivere.

Denne kontrollen i TRONs verifiseringsprosess gjorde at angrepet kunne omgå blokkjedens multisig-sikkerhet fullstendig.

Omer Sadika, et medlem av 0d-forskningsteamet, forklarte:

"Multisig-verifiseringsprosessen kunne ha blitt omgått ved å signere den samme meldingen med ikke-deterministiske nonser ... Enkelt sagt kan en underskriver opprette flere gyldige signaturer for den samme meldingen."

Løsningen på denne kritiske sårbarheten var relativt grei, siden signaturer nå kontrolleres mot en liste over adresser i stedet for kun å stole på en signaturliste.

TRONs raske respons på multisig sikkerhetsfeil

0d-forskningsteamet rapporterte omgående om sårbarheten gjennom TRONs bug bounty-program 19. februar. TRON lappet raskt sikkerhetsproblemet i løpet av dager, og forskerne bekreftet at de fleste TRON-validatorer hadde implementert de nødvendige oppdateringene.

I en egen uttalelse på Twitter understreket forskerne at ingen brukereiendeler er i fare for øyeblikket siden sårbarheten har blitt løst.

Foreløpig har TRON ikke gitt sin offentlige uttalelse angående hendelsen.

Nyere sårbarheter

Den siste utviklingen faller sammen med oppdagelsen av en betydelig personvernsårbarhet i Monero-blokkjeden. Spesielt forble Monero-feilen uoppdaget på nettverket i over tre år før den ble identifisert og umiddelbart løst.

I nok et slag mot DeFi-sektoren ble Jimbos-protokollen, bygget på Arbitrum-nettverket, offer for en alvorlig utnyttelse som resulterte i tap av 4,000 Ether, tilsvarende ca. $ 7.5 millioner.

Den siste utviklingen fremhever viktigheten av strenge sikkerhetstiltak og grundige revisjonsprosesser i blockchain-teknologier. Å identifisere og adressere sårbarheter raskt er avgjørende for å opprettholde sikkerheten og integriteten til kryptovalutanettverk.

Følg oss på Google Nyheter

Kilde: https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/