Sikkerhedsfirma afslører $500 millioner sårbarhed i TRONs multisig-konti

Sikkerhedsforskere har for nylig afsløret en kritisk nul-dages sårbarhed i TRON blockchain, der potentielt kan udsætte 500 millioner dollars i kryptovaluta for tyveri.

Sårbarheden, opdaget af 0d-forskerholdet på dWallet-labs, var specifikt målrettet mod multisig-konti på TRON-blockchain.

0d, vores superstjerne-cybersikkerhedsforskningsteam, opdagede en sårbarhed i TRON multisig-konti, der satte over $500 millioner digitale aktiver i fare – det blev afsløret og rettet, så der er ingen brugeraktiver i fare nu.
Et teknisk nedbrud: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) Maj 30, 2023

Multisig-konti kræver flere signaturer for at godkende en transaktion. Fejlen i TRON's tilgang til multisig gjorde det imidlertid muligt for enhver underskriver, der var tilknyttet en bestemt multisig-konto, at få adgang til midlerne på denne konto uafhængigt uden at kræve godkendelse fra andre underskrivere.

Dette tilsyn i TRONs verifikationsproces gjorde det muligt for angrebet at omgå blockchains multisig-sikkerhed helt.

Omer Sadika, et medlem af 0d forskerholdet, forklarede:

"Multisig-bekræftelsesprocessen kunne være blevet omgået ved at underskrive den samme meddelelse med ikke-deterministiske nonces... Enkelt sagt kan en underskriver oprette flere gyldige signaturer for den samme meddelelse."

Løsningen på denne kritiske sårbarhed var relativt ligetil, da signaturer nu kontrolleres mod en liste over adresser i stedet for udelukkende at stole på en signaturliste.

TRONs hurtige reaktion på multisig sikkerhedsfejl

0d-forskerholdet rapporterede omgående sårbarheden gennem TRON's bug bounty-program den 19. februar. TRON fiksede hurtigt sårbarheden inden for få dage, og forskerne bekræftede, at de fleste TRON-validatorer havde implementeret de nødvendige patches.

I en separat erklæring på Twitter understregede forskerne, at ingen brugeraktiver i øjeblikket er i fare, da sårbarheden er blevet løst.

Indtil videre har TRON ikke udgivet sin offentlige erklæring om hændelsen.

Nyere sårbarheder

Den seneste udvikling falder sammen med opdagelsen af en betydelig sårbarhed i privatlivets fred inden for Monero blockchain. Især forblev Monero-fejlen uopdaget på netværket i over tre år, før den blev identificeret og straks løst.

I endnu et slag til DeFi-sektoren blev Jimbos-protokollen, bygget på Arbitrum-netværket, offer for en alvorlig udnyttelse, der resulterede i tabet af 4,000 Ether, svarende til ca. $ 7.5 millioner.

Den seneste udvikling fremhæver vigtigheden af strenge sikkerhedsforanstaltninger og grundige revisionsprocesser i blockchain-teknologier. At identificere og adressere sårbarheder hurtigt er afgørende for at opretholde sikkerheden og integriteten af kryptovaluta-netværk.

Følg os på Google Nyheder

Kilde: https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/