Ахоўная фірма выявіла ўразлівасць на 500 мільёнаў долараў ва ўліковых запісах TRON

Нядаўна даследчыкі бяспекі раскрылі крытычную ўразлівасць нулявога дня ў блокчейне TRON, якая патэнцыйна можа падвергнуць крадзяжу крыптавалюту на суму 500 мільёнаў долараў.

Уразлівасць, выяўленая даследчай групай 0d у лабараторыях dWallet, была спецыяльна накіравана на акаўнты з некалькімі падпіскамі ў блокчейне TRON.

0d, наша суперзоркавая даследчая група па кібербяспецы, выявіла ўразлівасць ва ўліковых запісах TRON multisig, якая падвяргае рызыцы больш чым 500 мільёнаў долараў лічбавых актываў – яна была раскрытая і выпраўлена, таму зараз няма ніякіх карыстальніцкіх актываў пад пагрозай.
Тэхнічная інфармацыя: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) Можа 30, 2023

Уліковыя запісы Multisig патрабуюць некалькіх подпісаў для аўтарызацыі транзакцыі. Аднак недахоп у падыходзе TRON да multisig дазволіў любому падпісанту, звязанаму з пэўным уліковым запісам multisig, атрымаць доступ да сродкаў у гэтым уліковым запісе незалежна, не патрабуючы адабрэння іншых падпісантаў.

Гэты недагляд у працэсе праверкі TRON дазволіў атацы цалкам абыйсці бяспеку некалькіх падпісак блокчейна.

Омер Садыка, член даследчай групы 0d, растлумачыў:

«Працэс шматсігнальнай праверкі можна было б абыйсці, падпісаўшы адно і тое ж паведамленне недэтэрмінаванымі нумарамі... Прасцей кажучы, адзін падпісант можа стварыць некалькі сапраўдных подпісаў для аднаго паведамлення».

Рашэнне гэтай крытычнай уразлівасці было адносна простым, бо подпісы цяпер правяраюцца па спісе адрасоў, а не толькі па спісе подпісаў.

Хуткая рэакцыя TRON на памылку ў бяспецы multisig

Даследчая група 0d неадкладна паведаміла аб уразлівасці праз праграму ўзнагароджання памылак TRON 19 лютага. TRON хутка выправіў уразлівасць на працягу некалькіх дзён, і даследчыкі пацвердзілі, што большасць валідатараў TRON укаранілі неабходныя патчы.

У асобнай заяве ў Twitter даследчыкі падкрэслілі, што ў цяперашні час ніякія актывы карыстальнікаў не знаходзяцца пад пагрозай, паколькі ўразлівасць была паспяхова ліквідавана.

На дадзены момант TRON не зрабіў публічнай заявы адносна інцыдэнту.

Больш свежыя ўразлівасці

Апошняя падзея супадае з выяўленнем значнай уразлівасці прыватнасці ў блокчейне Monero. Варта адзначыць, што памылка Monero заставалася незаўважанай у сетцы больш за тры гады, перш чым яна была выяўлена і хутка вырашана.

Яшчэ адзін удар па сектары DeFi, пратакол Jimbos, створаны ў сетцы Arbitrum, стаў ахвярай сур'ёзнага эксплойта, які прывёў да страты 4,000 эфіраў, што эквівалентна прыблізна $ 7.5 мільёнаў.

Апошнія падзеі падкрэсліваюць важнасць строгіх мер бяспекі і дбайных працэсаў аўдыту ў тэхналогіях блокчейн. Хуткае выяўленне і ліквідацыя ўразлівасцяў мае вырашальнае значэнне для падтрымання бяспекі і цэласнасці криптовалютных сетак.

Сачыце за намі ў Google News

Крыніца: https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/