Ang mga mananaliksik sa seguridad ay nagsiwalat kamakailan ng isang kritikal na zero-day na kahinaan sa TRON blockchain na posibleng maglantad ng $500 milyon na halaga ng cryptocurrency sa pagnanakaw.
Ang kahinaan, na natuklasan ng 0d research team sa dWallet labs, ay partikular na naka-target sa mga multisig account sa TRON blockchain.
Ang mga multisig account ay nangangailangan ng maraming lagda upang pahintulutan ang isang transaksyon. Gayunpaman, ang depekto sa diskarte ng TRON sa multisig ay nagbigay-daan sa sinumang lumagda na nauugnay sa isang partikular na multisig account na makakuha ng access sa mga pondo sa loob ng account na iyon nang independyente, nang hindi nangangailangan ng pag-apruba ng iba pang mga pumirma.
Ang pangangasiwa na ito sa proseso ng pag-verify ng TRON ay nagbigay-daan sa pag-atake na ganap na ma-bypass ang multisig na seguridad ng blockchain.
Ipinaliwanag ni Omer Sadika, isang miyembro ng 0d research team:
“Maaaring nalampasan ang proseso ng multisig na pag-verify sa pamamagitan ng paglagda sa parehong mensahe na may mga hindi tiyak na nonces...Sa madaling salita, ang isang pumirma ay maaaring lumikha ng maraming wastong lagda para sa parehong mensahe."
Ang solusyon sa kritikal na kahinaan na ito ay medyo tapat, dahil ang mga lagda ay sinusuri na ngayon laban sa isang listahan ng mga address sa halip na umasa lamang sa isang listahan ng mga lagda.
Ang mabilis na tugon ng TRON sa multisig security flaw
Agad na iniulat ng 0d research team ang kahinaan sa pamamagitan ng bug bounty program ng TRON noong Peb. 19. Mabilis na na-patch ng TRON ang kahinaan sa loob ng ilang araw, at kinumpirma ng mga mananaliksik na ang karamihan sa mga validator ng TRON ay nagpatupad ng mga kinakailangang patch.
Sa isang hiwalay na pahayag sa Twitter, binigyang-diin ng mga mananaliksik na walang mga asset ng user ang kasalukuyang nasa panganib dahil ang kahinaan ay matagumpay na nalutas.
Sa ngayon, hindi pa naglalabas ng pampublikong pahayag ang TRON hinggil sa insidente.
Higit pang mga kamakailang kahinaan
Ang pinakabagong pag-unlad ay kasabay ng pagtuklas ng isang makabuluhang kahinaan sa privacy sa loob ng Monero blockchain. Kapansin-pansin, ang Monero bug ay nanatiling hindi natukoy sa network sa loob ng mahigit tatlong taon bago ito natukoy at agad na naresolba.
Sa isa pang dagok sa sektor ng DeFi, ang Jimbos Protocol, na binuo sa Arbitrum network, ay naging biktima ng matinding pagsasamantala na nagresulta sa pagkawala ng 4,000 Ether, katumbas ng humigit-kumulang $ 7.5 Milyon.
Itinatampok ng kamakailang mga pag-unlad ang kahalagahan ng mahigpit na mga hakbang sa seguridad at masusing proseso ng pag-audit sa mga teknolohiyang blockchain. Ang mabilis na pagtukoy at pagtugon sa mga kahinaan ay mahalaga sa pagpapanatili ng seguridad at integridad ng mga network ng cryptocurrency.
Pinagmulan: https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/