Firma ochroniarska ujawnia lukę w zabezpieczeniach kont multisig TRON o wartości 500 milionów dolarów

Badacze bezpieczeństwa ujawnili niedawno krytyczną lukę dnia zerowego w łańcuchu blokowym TRON, która może potencjalnie narazić kryptowalutę o wartości 500 milionów dolarów na kradzież.

Luka wykryta przez zespół badawczy 0d w laboratoriach dWallet dotyczyła konkretnie kont multisig w łańcuchu blokowym TRON.

0d, nasz supergwiazdorski zespół badawczy zajmujący się cyberbezpieczeństwem, odkrył lukę w zabezpieczeniach kont TRON multisig, narażającą zasoby cyfrowe o wartości ponad 500 mln USD – została ona ujawniona i naprawiona, więc obecnie nie ma zagrożonych zasobów użytkowników.
Awaria techniczna: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) 30 maja 2023 r.

Konta Multisig wymagają wielu podpisów w celu autoryzacji transakcji. Jednak wada podejścia TRON do multisig umożliwiła każdemu sygnatariuszowi powiązanemu z konkretnym kontem multisig uzyskanie niezależnego dostępu do środków na tym koncie, bez konieczności zatwierdzenia innych sygnatariuszy.

To niedopatrzenie w procesie weryfikacji TRON umożliwiło atakowi całkowite ominięcie zabezpieczeń multisig łańcucha bloków.

Omer Sadika, członek zespołu badawczego 0d, wyjaśnił:

„Proces weryfikacji multisig można było ominąć, podpisując tę samą wiadomość niedeterministycznymi wartościami jednorazowymi… Mówiąc najprościej, jeden podpisujący może utworzyć wiele ważnych podpisów dla tej samej wiadomości”.

Rozwiązanie tej krytycznej luki było stosunkowo proste, ponieważ podpisy są teraz sprawdzane na podstawie listy adresów, a nie polegać wyłącznie na liście podpisów.

Szybka reakcja TRON na lukę w zabezpieczeniach multisig

Zespół badawczy 0d niezwłocznie zgłosił lukę za pośrednictwem programu nagród za błędy TRON 19 lutego. TRON szybko załatał lukę w zabezpieczeniach w ciągu kilku dni, a badacze potwierdzili, że większość walidatorów TRON wdrożyła niezbędne poprawki.

W osobnym oświadczeniu na Twitterze badacze podkreślili, że żadne zasoby użytkowników nie są obecnie zagrożone, ponieważ luka została pomyślnie usunięta.

Na razie TRON nie wydało publicznego oświadczenia w sprawie incydentu.

Nowsze luki w zabezpieczeniach

Najnowszy rozwój zbiega się z odkryciem znaczącej luki w zabezpieczeniach prywatności w łańcuchu blokowym Monero. Warto zauważyć, że błąd Monero pozostawał niewykryty w sieci przez ponad trzy lata, zanim został zidentyfikowany i szybko rozwiązany.

W kolejnym ciosie dla sektora DeFi protokół Jimbos, zbudowany na sieci Arbitrum, padł ofiarą poważnego exploita, który doprowadził do utraty 4,000 Ether, co odpowiada ok. $ 7.5 mln.

Ostatnie wydarzenia podkreślają znaczenie rygorystycznych środków bezpieczeństwa i dokładnych procesów audytu w technologiach blockchain. Szybkie identyfikowanie i eliminowanie luk w zabezpieczeniach ma kluczowe znaczenie dla utrzymania bezpieczeństwa i integralności sieci kryptowalut.

Śledź nas w Google News

Źródło: https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/