Säkerhetsföretaget avslöjar $500 miljoner sårbarhet i TRON:s multisig-konton

Säkerhetsforskare har nyligen avslöjat en kritisk nolldagarssårbarhet i TRON-blockkedjan som potentiellt kan utsätta kryptovaluta för 500 miljoner dollar för stöld.

Sårbarheten, upptäckt av 0d-forskarteamet vid dWallet labs, riktade sig specifikt mot multisig-konton på TRON-blockkedjan.

0d, vårt forskarteam för superstjärnor för cybersäkerhet, upptäckte en sårbarhet i TRON multisig-konton som satte över 500 miljoner dollar av digitala tillgångar i riskzonen – det avslöjades och fixades så det finns inga användartillgångar i riskzonen nu.
Ett tekniskt haveri: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) Maj 30, 2023

Multisig-konton kräver flera signaturer för att auktorisera en transaktion. Men bristen i TRON:s tillvägagångssätt för multisig gjorde det möjligt för alla undertecknare som var associerade med ett visst multisig-konto att få tillgång till pengarna på det kontot på egen hand, utan att kräva godkännande från andra undertecknare.

Denna tillsyn i TRON:s verifieringsprocess gjorde att attacken kunde kringgå blockkedjans multisig-säkerhet helt.

Omer Sadika, en medlem av 0ds forskargrupp, förklarade:

"Multisig-verifieringsprocessen kunde ha kringgåtts genom att underteckna samma meddelande med icke-deterministiska nonces... Enkelt uttryckt kan en undertecknare skapa flera giltiga signaturer för samma meddelande."

Lösningen på denna kritiska sårbarhet var relativt okomplicerad, eftersom signaturer nu kontrolleras mot en lista med adresser istället för att enbart förlita sig på en signaturlista.

TRON:s snabba svar på multisig säkerhetsbrister

0d-forskargruppen rapporterade omedelbart sårbarheten genom TRON:s bug-bounty-program den 19 februari. TRON korrigerade snabbt sårbarheten inom några dagar, och forskarna bekräftade att de flesta TRON-validerare hade implementerat de nödvändiga korrigeringarna.

I ett separat uttalande på Twitter betonade forskarna att inga användartillgångar för närvarande är i riskzonen eftersom sårbarheten har lösts.

Än så länge har TRON inte lämnat sitt offentliga uttalande angående händelsen.

Senare sårbarheter

Den senaste utvecklingen sammanfaller med upptäckten av en betydande integritetssårbarhet inom Monero blockchain. Notera att Monero-buggen förblev oupptäckt på nätverket i över tre år innan den identifierades och löstes omedelbart.

I ännu ett slag mot DeFi-sektorn föll Jimbos-protokollet, byggt på Arbitrum-nätverket, offer för ett allvarligt utnyttjande som resulterade i förlusten av 4,000 XNUMX Ether, motsvarande ca. $ 7.5 miljoner.

Den senaste utvecklingen framhäver vikten av rigorösa säkerhetsåtgärder och noggranna revisionsprocesser i blockkedjeteknologier. Att snabbt identifiera och åtgärda sårbarheter är avgörande för att upprätthålla säkerheten och integriteten hos kryptovalutanätverk.

Följ oss på Google Nyheter

Källa: https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/