Biztonsági kutatók nemrégiben felfedték a TRON blokklánc egy kritikus nulladik napi sebezhetőségét, amely 500 millió dollár értékű kriptovalutát tehet ki lopásnak.
A dWallet Labs 0d kutatócsoportja által felfedezett sebezhetőség kifejezetten a TRON blokkláncon lévő multisig fiókokat célozta meg.
A Multisig fiókok több aláírást igényelnek a tranzakció engedélyezéséhez. A TRON multisig-hez való hozzáállásának hibája azonban lehetővé tette, hogy egy adott multisig-számlához társított aláíró önállóan, más aláírók jóváhagyása nélkül hozzáférjen a számlán lévő pénzeszközökhöz.
A TRON ellenőrzési folyamatának ez a felügyelete lehetővé tette, hogy a támadás teljesen megkerülje a blokklánc multisig biztonságát.
Omer Sadika, a 0d kutatócsoport tagja elmagyarázta:
"A többjeles ellenőrzési folyamat megkerülhető lett volna, ha ugyanazt az üzenetet nem determinisztikus hiányosságokkal írja alá... Egyszerűen fogalmazva, egy aláíró több érvényes aláírást is létrehozhat ugyanahhoz az üzenethez."
Ennek a kritikus sérülékenységnek a megoldása viszonylag egyszerű volt, mivel az aláírásokat most egy címlistához hasonlítják, ahelyett, hogy kizárólag az aláírások listájára hagyatkoznának.
A TRON gyors válasza a multisig biztonsági hibára
A 0d kutatócsoport február 19-én azonnal jelentette a sebezhetőséget a TRON hibajavító programján keresztül. A TRON napokon belül gyorsan kijavította a sebezhetőséget, és a kutatók megerősítették, hogy a legtöbb TRON-ellenőrző telepítette a szükséges javításokat.
A kutatók a Twitteren külön közleményben hangsúlyozták, hogy jelenleg egyetlen felhasználói vagyon sincs veszélyben, mivel a sebezhetőséget sikeresen feloldották.
A TRON egyelőre nem adott ki nyilvános közleményt az esettel kapcsolatban.
Újabb sebezhetőségek
A legújabb fejlesztés egybeesik a Monero blokkláncon belüli jelentős adatvédelmi sérülékenység felfedezésével. Nevezetesen, a Monero hiba több mint három évig észrevétlen maradt a hálózaton, mielőtt azonosították és azonnal kijavították.
A DeFi szektor újabb csapásaként az Arbitrum hálózatra épülő Jimbos Protokoll súlyos kizsákmányolás áldozata lett, ami 4,000 Ether veszteséget okozott, ami kb. 7.5 millió $.
A legújabb fejlemények rávilágítanak a szigorú biztonsági intézkedések és az alapos auditálási folyamatok fontosságára a blokklánc-technológiákban. A sérülékenységek gyors azonosítása és kezelése kulcsfontosságú a kriptovaluta hálózatok biztonságának és integritásának megőrzéséhez.
Forrás: https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/