Даследчыкі бяспекі раскрылі ўразлівасць у блокчейне TRON 30 мая, якая раней паставіла пад пагрозу крыптаграфію на 500 мільёнаў долараў.
Адзін падпісант мог атрымаць доступ да некалькіх уліковых запісаў
Даследчая група 0d з лабараторый dWallet заявіла, што крытычная ўразлівасць нулявога дня ў блокчейне TRON робіць уліковыя запісы multisig адкрытымі для крадзяжу.
Уліковыя запісы Multi-Sig павінны быць падпісаны некалькімі подпісамі, перш чым яны выканаюць транзакцыю, як вынікае з назвы. Аднак уразлівасць, выяўленая ў TRON, дазволіла б любому падпісанту, звязанаму з любым уліковым запісам multisig, аднаасобна атрымаць доступ да сродкаў у гэтым уліковым запісе.
Недагляды ў падыходзе TRON да multisig азначалі, што працэс праверкі не правяраў усю неабходную інфармацыю. На думку даследчыкаў 0d, такая лінія атакі магла б «цалкам пераадолець» бяспеку некалькіх знакаў TRON.
Член каманды Омер Садыка пісаў:
” … Працэс праверкі некалькіх подпісаў [можна было] абыйсці, падпісаўшы адно і тое ж паведамленне недэтэрмінаванымі нумарамі… Прасцей кажучы, адзін падпісант можа стварыць некалькі сапраўдных подпісаў для аднаго паведамлення.»
Рашэнне гэтай праблемы было простым, на думку даследчыкаў. Цяпер подпісы правяраюцца па спісе адрасоў, а не толькі па спісе подпісаў.
Пра ўразлівасць паведамлялася ў лютым
Даследчая група 0d заявіла, што паведаміла аб праблеме праз праграму ўзнагароджання за памылкі TRON 19 лютага. Каманда дадала, што TRON выправіў уразлівасць за некалькі дзён, і яны сказалі, што большасць валідатараў TRON цяпер выпраўлены.
Даследчыкі падкрэслілі ў асобнай заяве Twitter, што цяпер, калі ўразлівасць была выпраўлена, «няма актываў карыстальнікаў пад пагрозай».
TRON пакуль не зрабіў уласнай публічнай заявы.
Паведамленне TRON пазбегла ўразлівасці на суму 500 мільёнаў долараў упершыню з'явілася на CryptoSlate.
Крыніца: https://cryptoslate.com/tron-avoided-500m-multisig-vulnerability/