Фирмата за сигурност разкрива уязвимост на стойност 500 милиона долара в мултисиг акаунтите на TRON

Изследователите по сигурността наскоро разкриха критична уязвимост на нулевия ден в блокчейна TRON, която потенциално може да изложи на кражба криптовалута на стойност 500 милиона долара.

Уязвимостта, открита от изследователския екип на 0d в dWallet labs, е насочена конкретно към multisig акаунти в блокчейна TRON.

0d, нашият екип за изследване на киберсигурността със суперзвезда, откри уязвимост в TRON multisig акаунти, излагаща на риск над $500 милиона цифрови активи – тя беше разкрита и поправена, така че сега няма потребителски активи, изложени на риск.
Техническа разбивка: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) Май 30, 2023

Multisig акаунтите изискват множество подписи за разрешаване на транзакция. Въпреки това, недостатъкът в подхода на TRON към multisig позволи на всеки подписал, свързан с конкретен мултисиг акаунт, да получи достъп до средствата в този акаунт независимо, без да изисква одобрението на други подписващи.

Този пропуск в процеса на проверка на TRON позволи на атаката да заобиколи изцяло мултисиг сигурността на блокчейна.

Омер Садика, член на изследователския екип на 0d, обясни:

„Процесът на проверка на множество подписи можеше да бъде заобиколен чрез подписване на едно и също съобщение с недетерминирани nonces… Просто казано, един подписал може да създаде множество валидни подписи за едно и също съобщение.“

Решението на тази критична уязвимост беше сравнително лесно, тъй като сега подписите се проверяват спрямо списък с адреси, вместо да се разчита единствено на списък с подписи.

Бързият отговор на TRON на пропуска в сигурността на multisig

Изследователският екип на 0d незабавно съобщи за уязвимостта чрез програмата за награди за грешки на TRON на 19 февруари. TRON бързо коригира уязвимостта в рамките на дни и изследователите потвърдиха, че повечето валидатори на TRON са внедрили необходимите корекции.

В отделно изявление в Twitter изследователите подчертават, че в момента няма застрашени потребителски активи, тъй като уязвимостта е успешно разрешена.

Към момента TRON не е публикувал публично изявление относно инцидента.

По-скорошни уязвимости

Последното развитие съвпада с откриването на значителна уязвимост на поверителността в блокчейна Monero. Трябва да се отбележи, че грешката в Monero остана неоткрита в мрежата повече от три години, преди да бъде идентифицирана и незабавно разрешена.

В още един удар върху сектора на DeFi, протоколът Jimbos, изграден върху мрежата Arbitrum, стана жертва на сериозен експлойт, водещ до загуба на 4,000 Ether, еквивалентно на приблизително 7.5 милиона долара.

Последните разработки подчертават значението на строгите мерки за сигурност и задълбочените процеси на одит в блокчейн технологиите. Бързото идентифициране и адресиране на уязвимости е от решаващо значение за поддържане на сигурността и целостта на мрежите за криптовалута.

Следвайте ни в Google Новини

Източник: https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/