Անվտանգության ընկերությունը բացահայտում է 500 միլիոն դոլարի խոցելիությունը TRON-ի multisig հաշիվներում

Անվտանգության հետազոտողները վերջերս բացահայտել են TRON բլոկչեյնում զրոյական օրական կարևոր խոցելիություն, որը կարող է 500 միլիոն դոլար արժողությամբ կրիպտոարժույթի գողության ենթարկել:

Խոցելիությունը, որը հայտնաբերել է dWallet լաբորատորիաներում 0d հետազոտական թիմը, հատուկ թիրախավորել է TRON բլոկչեյնի multisig հաշիվները:

0d, կիբերանվտանգության մեր գերաստղերի հետազոտական թիմը, հայտնաբերել է խոցելիություն TRON multisig հաշիվներում, որը վտանգի տակ է դնում ավելի քան 500 մլն դոլար թվային ակտիվներ. այն բացահայտվել և շտկվել է, ուստի այժմ օգտատերերի ակտիվներ չկան:
Տեխնիկական անսարքություն՝ https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) Թող 30, 2023

Multisig հաշիվները պահանջում են բազմաթիվ ստորագրություններ՝ գործարքը թույլատրելու համար: Այնուամենայնիվ, multisig-ի նկատմամբ TRON-ի մոտեցման թերությունը թույլ է տվել ցանկացած ստորագրողի, որը կապված է որոշակի multisig հաշվի հետ, ինքնուրույն մուտք գործել դեպի այդ հաշվի միջոցները, առանց այլ ստորագրողների հաստատումը պահանջելու:

TRON-ի ստուգման գործընթացում այս վերահսկողությունը հարձակմանը հնարավորություն տվեց ամբողջությամբ շրջանցել բլոկչեյնի բազմակողմանի անվտանգությունը:

0d հետազոտական թիմի անդամ Օմեր Սադիկան բացատրեց.

«Բազմանշանակ ստուգման գործընթացը կարող էր շրջանցվել՝ ստորագրելով միևնույն հաղորդագրությունը ոչ որոշիչ չնիշերով… Պարզ ասած, մեկ ստորագրողը կարող է մի քանի վավեր ստորագրություններ ստեղծել նույն հաղորդագրության համար»:

Այս կրիտիկական խոցելիության լուծումը համեմատաբար պարզ էր, քանի որ ստորագրություններն այժմ ստուգվում են հասցեների ցանկով, այլ ոչ թե հիմնվում են միայն ստորագրությունների ցանկի վրա:

TRON-ի արագ արձագանքը բազմակողմանի անվտանգության թերությանը

0d հետազոտական թիմը անհապաղ զեկուցեց խոցելիության մասին TRON-ի bug bounty ծրագրի միջոցով փետրվարի 19-ին: TRON-ն արագորեն կարկատեց խոցելիությունը մի քանի օրվա ընթացքում, և հետազոտողները հաստատեցին, որ TRON վավերացնողներից շատերն իրականացրել են անհրաժեշտ պատչերը:

Twitter-ի առանձին հայտարարության մեջ հետազոտողները ընդգծել են, որ ներկայումս օգտատերերի ոչ մի ակտիվ չի վտանգված, քանի որ խոցելիությունը հաջողությամբ լուծվել է:

Այս պահի դրությամբ TRON-ը միջադեպի առնչությամբ իր հրապարակային հայտարարությունը չի տարածել։

Ավելի վերջին խոցելիություններ

Վերջին զարգացումը համընկնում է Monero բլոկչեյնի ներսում գաղտնիության զգալի խոցելիության հայտնաբերման հետ: Հատկանշական է, որ Monero-ի սխալը չբացահայտված մնաց ցանցում ավելի քան երեք տարի, մինչև այն հայտնաբերվեց և անմիջապես լուծվեր:

DeFi սեկտորին հասցված ևս մեկ հարվածի պատճառով՝ Արբիտրում ցանցի վրա կառուցված Jimbos Protocol-ը զոհ դարձավ դաժան շահագործման, ինչը հանգեցրեց 4,000 Եթերի կորստի, որը համարժեք է մոտավորապես $ 7.5 միլիոն.

Վերջին զարգացումները ընդգծում են բլոկչեյն տեխնոլոգիաներում անվտանգության խիստ միջոցառումների և մանրակրկիտ աուդիտի գործընթացների կարևորությունը: Կրիպտոարժույթների ցանցերի անվտանգությունն ու ամբողջականությունը պահպանելու համար կարևոր է խոցելիության արագ հայտնաբերումն ու դրանց վերացումը:

Հետևեք մեզ Google News-ում

Աղբյուր՝ https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/