Tietoturvayritys paljastaa 500 miljoonan dollarin haavoittuvuuden TRONin multisig-tileissä

Tietoturvatutkijat ovat äskettäin paljastaneet kriittisen nollapäivän haavoittuvuuden TRON-lohkoketjussa, joka voi mahdollisesti altistaa 500 miljoonan dollarin arvoisen kryptovaluutan varkaudelle.

Haavoittuvuus, jonka dWallet Labsin 0d-tutkimusryhmä löysi, kohdistui erityisesti TRON-lohkoketjun multisig-tileihin.

0d, huipputähti kyberturvallisuuden tutkimustiimimme, löysi haavoittuvuuden TRON multisig -tileistä, mikä vaarantaa yli 500 miljoonan dollarin digitaalisen omaisuuden – se paljastettiin ja korjattiin, joten käyttäjien omaisuutta ei ole nyt vaarassa.
Tekninen vika: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) Voi 30, 2023

Multisig-tilit vaativat useita allekirjoituksia tapahtuman valtuuttamiseksi. Kuitenkin TRONin multisig-lähestymistavan puutteen ansiosta kaikki tiettyyn multisig-tiliin liittyvät allekirjoittajat pääsivät itsenäisesti käsiksi kyseisellä tilillä oleviin varoihin ilman muiden allekirjoittajien hyväksyntää.

Tämä TRONin varmennusprosessin valvonta mahdollisti hyökkäyksen ohittamaan blockchainin multisig-suojauksen kokonaan.

Omer Sadika, 0d-tutkimusryhmän jäsen, selitti:

"Multimerkkitodennusprosessi olisi voitu ohittaa allekirjoittamalla sama viesti ei-deterministisillä virheillä... Yksinkertaisesti sanottuna yksi allekirjoittaja voi luoda useita kelvollisia allekirjoituksia samalle viestille."

Ratkaisu tähän kriittiseen haavoittuvuuteen oli suhteellisen yksinkertainen, koska allekirjoitukset tarkistetaan nyt osoiteluetteloon sen sijaan, että luottaisi vain allekirjoitusluetteloon.

TRONin nopea vastaus multisig-tietoturvavirheeseen

0d-tutkimusryhmä ilmoitti haavoittuvuudesta välittömästi TRONin bug bounty -ohjelman kautta 19. helmikuuta. TRON korjasi haavoittuvuuden nopeasti muutamassa päivässä, ja tutkijat vahvistivat, että useimmat TRON-validaattorit olivat asentaneet tarvittavat korjaustiedostot.

Twitterissä antamassaan erillisessä lausunnossa tutkijat korostivat, että käyttäjien omaisuus ei ole tällä hetkellä vaarassa, koska haavoittuvuus on ratkaistu onnistuneesti.

Toistaiseksi TRON ei ole antanut julkista lausuntoaan tapauksesta.

Uusimmat haavoittuvuudet

Viimeisin kehitys osuu samaan aikaan, kun Monero-lohkoketjussa havaittiin merkittävä tietosuojahaavoittuvuus. Erityisesti Monero-vika pysyi havaitsematta verkossa yli kolme vuotta ennen kuin se tunnistettiin ja korjattiin nopeasti.

Toisessa iskussa DeFi-sektorille Arbitrum-verkkoon rakennettu Jimbos-protokolla joutui vakavan hyväksikäytön uhriksi, mikä johti 4,000 XNUMX eetterin menetyksiin, mikä vastaa noin $ 7.5 euroa.

Viimeaikainen kehitys korostaa tiukkojen turvatoimien ja perusteellisten auditointiprosessien tärkeyttä lohkoketjuteknologioissa. Haavoittuvuuksien nopea tunnistaminen ja korjaaminen on ratkaisevan tärkeää kryptovaluuttaverkkojen turvallisuuden ja eheyden ylläpitämiseksi.

Seuraa meitä Google-uutisissa

Lähde: https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/