Drošības firma atklāj 500 miljonu dolāru ievainojamību TRON multisig kontos

Drošības pētnieki nesen atklāja kritisku nulles dienas ievainojamību TRON blokķēdē, kas potenciāli varētu pakļaut 500 miljonu ASV dolāru vērtas kriptovalūtas zādzībai.

Ievainojamība, ko atklāja 0d pētnieku komanda dWallet laboratorijās, bija īpaši vērsta uz multisig kontiem TRON blokķēdē.

0d, mūsu superzvaigznes kiberdrošības izpētes grupa, atklāja ievainojamību TRON multisig kontos, pakļaujot riskam vairāk nekā 500 miljonus ASV dolāru digitālo līdzekļu — tā tika atklāta un novērsta, tāpēc pašlaik nav apdraudēta neviena lietotāja manta.
Tehniskais bojājums: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) 30. gada 2023. maijs

Lai autorizētu darījumu, Multisig kontiem ir nepieciešami vairāki paraksti. Tomēr nepilnība TRON pieejā multisig ļāva ikvienam parakstītājam, kas bija saistīts ar konkrētu multisig kontu, piekļūt līdzekļiem šajā kontā neatkarīgi, neprasot citu parakstītāju apstiprinājumu.

Šī TRON pārbaudes procesa pārraudzība ļāva uzbrukumam pilnībā apiet blokķēdes multisig drošību.

Omer Sadika, 0d pētniecības grupas loceklis, paskaidroja:

"Vairāku zīmju verifikācijas procesu varēja apiet, parakstot vienu un to pašu ziņojumu ar nedeterministiskām kļūdām... Vienkārši sakot, viens parakstītājs vienam ziņojumam var izveidot vairākus derīgus parakstus."

Šīs kritiskās ievainojamības risinājums bija salīdzinoši vienkāršs, jo paraksti tagad tiek pārbaudīti, salīdzinot ar adrešu sarakstu, nevis tikai paļaujoties uz parakstu sarakstu.

TRON ātrā reakcija uz multisig drošības trūkumu

0d pētnieku grupa nekavējoties ziņoja par ievainojamību, izmantojot TRON kļūdu atlīdzības programmu 19. februārī. TRON ātri aizlāpa ievainojamību dažu dienu laikā, un pētnieki apstiprināja, ka lielākā daļa TRON pārbaudītāju ir ieviesuši nepieciešamos ielāpus.

Atsevišķā paziņojumā Twitter pētnieki uzsvēra, ka pašlaik neviens lietotāju īpašums nav apdraudēts, jo ievainojamība ir veiksmīgi novērsta.

Pagaidām TRON nav izplatījis publisko paziņojumu par notikušo.

Jaunākās ievainojamības

Jaunākā attīstība sakrīt ar nozīmīgas privātuma ievainojamības atklāšanu Monero blokķēdē. Jāatzīmē, ka Monero kļūda tīklā netika atklāta vairāk nekā trīs gadus, pirms tā tika identificēta un nekavējoties novērsta.

Vēl viens trieciens DeFi sektoram, Jimbos protokols, kas izveidots Arbitrum tīklā, kļuva par upuri smagai ekspluatācijai, kā rezultātā tika zaudēti 4,000 ētera, kas atbilst aptuveni $ 7.5 miljoni.

Nesenie notikumi uzsver stingru drošības pasākumu un rūpīgu audita procesu nozīmi blokķēdes tehnoloģijās. Lai saglabātu kriptovalūtu tīklu drošību un integritāti, ļoti svarīgi ir ātri identificēt un novērst ievainojamības.

Sekojiet mums pakalpojumā Google ziņas

Avots: https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/