Անվտանգության հետազոտողները վերջերս բացահայտել են TRON բլոկչեյնում զրոյական օրական կարևոր խոցելիություն, որը կարող է 500 միլիոն դոլար արժողությամբ կրիպտոարժույթի գողության ենթարկել:
Խոցելիությունը, որը հայտնաբերել է dWallet լաբորատորիաներում 0d հետազոտական թիմը, հատուկ թիրախավորել է TRON բլոկչեյնի multisig հաշիվները:
Multisig հաշիվները պահանջում են բազմաթիվ ստորագրություններ՝ գործարքը թույլատրելու համար: Այնուամենայնիվ, multisig-ի նկատմամբ TRON-ի մոտեցման թերությունը թույլ է տվել ցանկացած ստորագրողի, որը կապված է որոշակի multisig հաշվի հետ, ինքնուրույն մուտք գործել դեպի այդ հաշվի միջոցները, առանց այլ ստորագրողների հաստատումը պահանջելու:
TRON-ի ստուգման գործընթացում այս վերահսկողությունը հարձակմանը հնարավորություն տվեց ամբողջությամբ շրջանցել բլոկչեյնի բազմակողմանի անվտանգությունը:
0d հետազոտական թիմի անդամ Օմեր Սադիկան բացատրեց.
«Բազմանշանակ ստուգման գործընթացը կարող էր շրջանցվել՝ ստորագրելով միևնույն հաղորդագրությունը ոչ որոշիչ չնիշերով… Պարզ ասած, մեկ ստորագրողը կարող է մի քանի վավեր ստորագրություններ ստեղծել նույն հաղորդագրության համար»:
Այս կրիտիկական խոցելիության լուծումը համեմատաբար պարզ էր, քանի որ ստորագրություններն այժմ ստուգվում են հասցեների ցանկով, այլ ոչ թե հիմնվում են միայն ստորագրությունների ցանկի վրա:
TRON-ի արագ արձագանքը բազմակողմանի անվտանգության թերությանը
0d հետազոտական թիմը անհապաղ զեկուցեց խոցելիության մասին TRON-ի bug bounty ծրագրի միջոցով փետրվարի 19-ին: TRON-ն արագորեն կարկատեց խոցելիությունը մի քանի օրվա ընթացքում, և հետազոտողները հաստատեցին, որ TRON վավերացնողներից շատերն իրականացրել են անհրաժեշտ պատչերը:
Twitter-ի առանձին հայտարարության մեջ հետազոտողները ընդգծել են, որ ներկայումս օգտատերերի ոչ մի ակտիվ չի վտանգված, քանի որ խոցելիությունը հաջողությամբ լուծվել է:
Այս պահի դրությամբ TRON-ը միջադեպի առնչությամբ իր հրապարակային հայտարարությունը չի տարածել։
Ավելի վերջին խոցելիություններ
Վերջին զարգացումը համընկնում է Monero բլոկչեյնի ներսում գաղտնիության զգալի խոցելիության հայտնաբերման հետ: Հատկանշական է, որ Monero-ի սխալը չբացահայտված մնաց ցանցում ավելի քան երեք տարի, մինչև այն հայտնաբերվեց և անմիջապես լուծվեր:
DeFi սեկտորին հասցված ևս մեկ հարվածի պատճառով՝ Արբիտրում ցանցի վրա կառուցված Jimbos Protocol-ը զոհ դարձավ դաժան շահագործման, ինչը հանգեցրեց 4,000 Եթերի կորստի, որը համարժեք է մոտավորապես $ 7.5 միլիոն.
Վերջին զարգացումները ընդգծում են բլոկչեյն տեխնոլոգիաներում անվտանգության խիստ միջոցառումների և մանրակրկիտ աուդիտի գործընթացների կարևորությունը: Կրիպտոարժույթների ցանցերի անվտանգությունն ու ամբողջականությունը պահպանելու համար կարևոր է խոցելիության արագ հայտնաբերումն ու դրանց վերացումը:
Աղբյուր՝ https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/