Истраживачи безбедности су недавно открили критичну рањивост нултог дана у блокчејну ТРОН која би потенцијално могла да изложи крађи криптовалуте у вредности од 500 милиона долара.
Рањивост, коју је открио истраживачки тим 0д у дВаллет лабораторијама, посебно је била усмерена на налоге са више потписа на ТРОН блок ланцу.
Мултисиг рачуни захтевају више потписа за ауторизацију трансакције. Међутим, недостатак у ТРОН-овом приступу мулти-потпису омогућио је сваком потписнику који је повезан са одређеним вишепотписним рачуном да добије приступ средствима унутар тог рачуна независно, без потребе за одобрењем других потписника.
Овај превид у ТРОН-овом процесу верификације омогућио је нападу да у потпуности заобиђе сигурност вишезначног ланца блокова.
Омер Садика, члан истраживачког тима 0д, објаснио је:
„Процес верификације вишеструких потписа могао је да се заобиђе потписивањем исте поруке недетерминистичким једнозначним бројевима... Једноставно речено, један потписник може да креира више важећих потписа за исту поруку.“
Решење за ову критичну рањивост било је релативно једноставно, пошто се потписи сада проверавају у односу на листу адреса уместо да се ослањају само на листу потписа.
Брз одговор ТРОН-а на безбедносни пропуст са више потписа
Истраживачки тим 0д је одмах пријавио рањивост кроз ТРОН-ов програм за награђивање грешака 19. фебруара. ТРОН је брзо закрпио рањивост у року од неколико дана, а истраживачи су потврдили да је већина ТРОН валидатора имплементирала неопходне закрпе.
У одвојеној изјави на Твитеру, истраживачи су нагласили да ниједна корисничка имовина тренутно није угрожена пошто је рањивост успешно решена.
До сада, ТРОН није дао своје јавно саопштење у вези са инцидентом.
Новије рањивости
Најновији развој поклапа се са открићем значајне рањивости приватности у оквиру Монеро блоцкцхаина. Приметно је да је грешка Монеро остала неоткривена на мрежи више од три године пре него што је идентификована и брзо решена.
У још једном удару на ДеФи сектор, Јимбос протокол, изграђен на мрежи Арбитрум, постао је жртва озбиљног експлоатације што је резултирало губитком 4,000 етера, што је еквивалентно приближно $ КСНУМКС милиона.
Недавна дешавања наглашавају важност ригорозних безбедносних мера и детаљних процеса ревизије у блокчејн технологијама. Брзо идентификовање и решавање рањивости је кључно за одржавање безбедности и интегритета мрежа криптовалута.
Извор: хттпс://црипто.невс/сецурити-фирм-екпосес-500м-вулнерабилити-ин-тронс-мултисиг-аццоунтс/