Sigurnosna tvrtka otkriva ranjivost od 500 milijuna dolara u TRON-ovim multisig računima

Sigurnosni istraživači nedavno su otkrili kritičnu zero-day ranjivost u TRON blockchainu koja bi potencijalno mogla izložiti 500 milijuna dolara vrijednu kriptovalutu krađi.

Ranjivost, koju je otkrio istraživački tim 0d u laboratorijima dWallet, posebno je ciljala multisig račune na TRON blockchainu.

0d, naš superzvijezda istraživački tim za kibersigurnost, otkrio je ranjivost u TRON multisig računima koja dovodi u opasnost više od 500 milijuna dolara digitalne imovine – to je otkriveno i popravljeno tako da sada nema korisničke imovine u opasnosti.
Tehnički pregled: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) Neka 30, 2023

Multisig računi zahtijevaju više potpisa za autorizaciju transakcije. Međutim, nedostatak u TRON-ovom pristupu multisig-u omogućio je bilo kojem potpisniku povezanom s određenim multisig računom da neovisno dobije pristup sredstvima unutar tog računa, bez potrebe za odobrenjem drugih potpisnika.

Ovaj nadzor u TRON-ovom procesu verifikacije omogućio je napadu da u potpunosti zaobiđe multisig sigurnost blockchaina.

Omer Sadika, član istraživačkog tima 0d, objasnio je:

"Proces verifikacije više potpisa mogao se zaobići potpisivanjem iste poruke s nedeterminističkim jednokratnim potpisima... Jednostavno rečeno, jedan potpisnik može stvoriti više valjanih potpisa za istu poruku."

Rješenje za ovu kritičnu ranjivost bilo je relativno jednostavno jer se potpisi sada provjeravaju prema popisu adresa umjesto da se oslanjaju isključivo na popis potpisa.

TRON-ov brzi odgovor na multisig sigurnosni propust

Istraživački tim 0d odmah je prijavio ranjivost kroz TRON-ov bug bounty program 19. veljače. TRON je brzo zakrpao ranjivost u roku od nekoliko dana, a istraživači su potvrdili da je većina TRON validatora implementirala potrebne zakrpe.

U zasebnoj izjavi na Twitteru, istraživači su naglasili da nijedna korisnička imovina trenutno nije u opasnosti budući da je ranjivost uspješno riješena.

Do sada, TRON nije objavio svoje javno priopćenje u vezi s incidentom.

Novije ranjivosti

Najnoviji razvoj događaja podudara se s otkrićem značajne ranjivosti privatnosti unutar Monero blockchaina. Naime, pogreška Monera ostala je neotkrivena na mreži više od tri godine prije nego što je identificirana i odmah riješena.

U još jednom udaru DeFi sektoru, Jimbos protokol, izgrađen na mreži Arbitrum, postao je žrtva ozbiljnog iskorištavanja što je rezultiralo gubitkom od 4,000 Ethera, što je otprilike približno $ 7.5 milijuna.

Nedavni razvoj događaja naglašava važnost rigoroznih sigurnosnih mjera i temeljitih procesa revizije u blockchain tehnologijama. Brzo prepoznavanje i rješavanje ranjivosti ključno je za održavanje sigurnosti i integriteta mreža kriptovaluta.

Pratite nas na Google vijestima

Izvor: https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/