Tron blokķēdes tīklam bija kritiska ievainojamība, kas pakļāva riskam 500 miljonus ASV dolāru, taču tagad tā ir novērsta — saskaņā ar 0d — dWallet Labs kiberdrošības pētījumu grupa, kas atrada kļūdu.
Kritiskā nulles dienas ievainojamība attiecās uz Tron multisig kontiem, kas varēja ļaut ikvienam vienam parakstītājam iegūt neierobežotu piekļuvi, potenciāli apdraudot tajā glabātos digitālos aktīvus, otrdien paziņoja 0d. Par ievainojamību 19. februārī ziņoja uzņēmums Od to Tron, izmantojot HackerOne kļūdu novēršanas programmu, un tā tika novērsta “dienu laikā”.
Tron pārstāvis apstiprināja The Block, ka tīkla komanda saņēma kļūdu ziņojumu no HackerOne, un komanda pēc tam "ātri novērsa problēmu un piemēroja nepieciešamos ielāpus, lai nodrošinātu, ka ievainojamību nevar izmantot."
"Mēs varam droši apliecināt, ka identificētā problēma ir efektīvi atrisināta, tādējādi nodrošinot sistēmas drošību," piebilda pārstāvis.
Galvenais cēlonis
Ievainojamības galvenais iemesls bija “pieņēmums aiz verifikācijas procesa”. teica Omer Sadika, Odsy Network līdzdibinātājs, kas pārvalda 0d un dWallet Labs.
"Tron pārbaudes procesā tika pārbaudīts, vai konkrēts paraksts jau ir saskaņots, pirms tas tika saskaņots ar slieksni," sacīja Sadika. "Tātad tiek pieņemts, ka viena un tā pati persona nevar izveidot divus dažādus derīgus parakstus vienam ziņojumam."
Lai gan ievainojamība bija kritiska, tās risinājums bija vienkāršs, norāda Ods. "Tā vietā, lai pārbaudītu parakstu ar parakstu sarakstu, pārbaudiet parakstīto adresi ar adrešu sarakstu," teikts tajā.
Nav skaidrs, cik lielu atlīdzību Od saņēma no Tron. Gan Ods, gan Trons nekavējoties neatbildēja uz The Block komentāriem.
Saskaņā ar DefiLlama datiem Tron ir otrs lielākais blokķēžu tīkls aiz Ethereum kopējās bloķētās vērtības un stabilo monētu apgrozības ziņā. Tron TVL pašlaik ir aptuveni 6 miljardi ASV dolāru, un tā stabilo monētu apgrozība pārsniedz 45 miljardus ASV dolāru.
© 2023 The Block Crypto, Inc. Visas tiesības aizsargātas. Šis raksts ir paredzēts tikai informatīviem nolūkiem. Tas netiek piedāvāts vai paredzēts izmantot kā juridiskas, nodokļu, investīciju, finanšu vai citas konsultācijas.
Avots: https://www.theblock.co/post/232671/tron-vulnerability-500-million-resolved?utm_source=rss&utm_medium=rss