Охоронна фірма виявила вразливість на суму 500 мільйонів доларів в мультипідписних облікових записах TRON

Дослідники безпеки нещодавно розкрили критичну вразливість нульового дня в блокчейні TRON, яка потенційно може стати жертвою крадіжки криптовалюти на суму 500 мільйонів доларів.

Уразливість, виявлена дослідницькою групою 0d в лабораторіях dWallet, була націлена на мультипідписні облікові записи в блокчейні TRON.

0d, наша суперзіркова дослідницька група з питань кібербезпеки, виявила вразливість в облікових записах TRON multisig, яка піддає ризику цифрові активи на суму понад 500 мільйонів доларів США. Її було розкрито та виправлено, тому зараз жодні активи користувачів не піддаються ризику.
Технічна інформація: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) Травень 30, 2023

Облікові записи Multisig вимагають кількох підписів для авторизації транзакції. Однак недолік у підході TRON до multisig дозволив будь-якому підписувачу, пов’язаному з певним обліковим записом multisig, отримати доступ до коштів у цьому обліковому записі незалежно, не вимагаючи схвалення інших підписантів.

Цей недогляд у процесі перевірки TRON дозволив атаці повністю обійти безпеку кількох підписів блокчейну.

Омер Садіка, член дослідницької групи 0d, пояснив:

«Процес багатопідписної перевірки можна було б обійти, підписавши одне й те саме повідомлення недетермінованими нонсами… Простіше кажучи, один підписувач може створити кілька дійсних підписів для одного повідомлення».

Рішення цієї критичної вразливості було відносно простим, оскільки тепер підписи перевіряються за списком адрес, а не покладаються виключно на список підписів.

Швидка реакція TRON на помилку в безпеці multisig

Дослідницька група 0d негайно повідомила про вразливість через програму винагороди за помилки TRON 19 лютого. TRON швидко виправив уразливість протягом декількох днів, і дослідники підтвердили, що більшість валідаторів TRON реалізували необхідні виправлення.

В окремій заяві в Twitter дослідники підкреслили, що наразі жодні активи користувачів не знаходяться під загрозою, оскільки вразливість була успішно усунена.

На даний момент TRON не опублікував свою публічну заяву щодо інциденту.

Останні вразливості

Остання подія збігається з виявленням значної вразливості конфіденційності в блокчейні Monero. Примітно, що помилка Monero залишалася непоміченою в мережі понад три роки, перш ніж її виявили та швидко усунули.

У ще одному ударі по сектору DeFi протокол Jimbos, створений на основі мережі Arbitrum, став жертвою серйозного експлойту, що призвело до втрати 4,000 ефірів, що еквівалентно приблизно $ 7.5 мільйонів.

Останні події підкреслюють важливість суворих заходів безпеки та ретельних процесів аудиту в технологіях блокчейн. Швидке виявлення та усунення вразливостей має вирішальне значення для підтримки безпеки та цілісності мереж криптовалюти.

Слідкуйте за нами в Новинах Google

Джерело: https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/