უსაფრთხოების ფირმა ავლენს 500 მილიონი აშშ დოლარის დაუცველობას TRON-ის მულტიზიგ ანგარიშებში

უსაფრთხოების მკვლევარებმა ახლახან გამოავლინეს კრიტიკული ნულოვანი დღის დაუცველობა TRON ბლოკჩეინში, რამაც შესაძლოა 500 მილიონი დოლარის ღირებულების კრიპტოვალუტის ქურდობა გამოავლინოს.

დაუცველობა, რომელიც აღმოაჩინა 0d კვლევითმა ჯგუფმა dWallet labs-ში, კონკრეტულად მიზნად ისახავდა TRON ბლოკჩეინზე მულტიზიგ ანგარიშებს.

0d, კიბერუსაფრთხოების ჩვენმა სუპერვარსკვლავმა კვლევითმა ჯგუფმა, აღმოაჩინა დაუცველობა TRON multisig ანგარიშებში, რაც საფრთხეს უქმნის 500 მილიონ დოლარზე მეტ ციფრულ აქტივებს – ის გამჟღავნდა და დაფიქსირდა, ასე რომ ახლა მომხმარებლის აქტივები არ არის რისკის ქვეშ.
ტექნიკური ავარია: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) შეიძლება 30, 2023

Multisig ანგარიშებს ესაჭიროებათ რამდენიმე ხელმოწერა ტრანზაქციის დასამტკიცებლად. თუმცა, TRON-ის მიდგომის ხარვეზმა multisig-თან დაკავშირებით ნებისმიერ ხელმომწერს, რომელიც დაკავშირებულია კონკრეტულ multisig ანგარიშთან, დამოუკიდებლად მიეღო წვდომა ამ ანგარიშში არსებულ სახსრებზე, სხვა ხელმომწერების თანხმობის გარეშე.

TRON-ის გადამოწმების პროცესზე ამ ზედამხედველობამ საშუალება მისცა შეტევას მთლიანად გვერდის ავლით დაეტოვებინა ბლოკჩეინის მულტისიგური უსაფრთხოება.

ომერ სადიკამ, 0d კვლევის ჯგუფის წევრმა, განმარტა:

„მულტისიგების გადამოწმების პროცესის გვერდის ავლით შეიძლებოდა ერთი და იგივე შეტყობინების ხელმოწერა არადეტერმინისტული ნონსებით… მარტივად რომ ვთქვათ, ერთ ხელმომწერს შეუძლია შექმნას მრავალი მოქმედი ხელმოწერა ერთი და იმავე შეტყობინებისთვის“.

ამ კრიტიკული დაუცველობის გადაწყვეტა შედარებით მარტივი იყო, რადგან ხელმოწერები ახლა მოწმდება მისამართების სიის მიხედვით და არა მხოლოდ ხელმოწერების ჩამონათვალზე დაყრდნობით.

TRON-ის სწრაფი პასუხი უსაფრთხოების მრავალმხრივ ხარვეზზე

0d მკვლევარმა ჯგუფმა დაუყონებლივ შეატყობინა დაუცველობის შესახებ TRON-ის bug bounty პროგრამის მეშვეობით 19 თებერვალს. TRON-მა სწრაფად გაასწორა დაუცველობა რამდენიმე დღეში და მკვლევარებმა დაადასტურეს, რომ TRON ვალიდატორების უმეტესობამ დანერგა საჭირო პატჩები.

Twitter-ზე გამოქვეყნებულ ცალკეულ განცხადებაში მკვლევარებმა ხაზგასმით აღნიშნეს, რომ ამჟამად არც ერთი მომხმარებლის აქტივი არ არის რისკის ქვეშ, რადგან დაუცველობა წარმატებით მოგვარებულია.

ამ დროისთვის TRON-ს არ გაუკეთებია საჯარო განცხადება მომხდართან დაკავშირებით.

უახლესი დაუცველობა

უახლესი განვითარება ემთხვევა Monero-ს ბლოკჩეინში კონფიდენციალურობის მნიშვნელოვანი დაუცველობის აღმოჩენას. აღსანიშნავია, რომ Monero-ს ხარვეზი შეუმჩნეველი დარჩა ქსელში სამ წელზე მეტი ხნის განმავლობაში, სანამ ის გამოვლენილი და დაუყოვნებლივ მოგვარებული იყო.

DeFi სექტორის კიდევ ერთი დარტყმის შედეგად, Jimbos Protocol, რომელიც აგებულია Arbitrum ქსელზე, გახდა მძიმე ექსპლუატაციის მსხვერპლი, რამაც გამოიწვია 4,000 ეთერის დაკარგვა, რაც დაახლოებით ექვივალენტურია. $ 7.5 მილიონი.

ბოლო დროს განვითარებული მოვლენები ხაზს უსვამს უსაფრთხოების მკაცრი ზომებისა და საფუძვლიანი აუდიტის პროცესების მნიშვნელობას ბლოკჩეინის ტექნოლოგიებში. კრიპტოვალუტის ქსელების უსაფრთხოებისა და მთლიანობის შესანარჩუნებლად გადამწყვეტი მნიშვნელობა აქვს დაუცველობების სწრაფად იდენტიფიცირებას და მათ მოგვარებას.

გამოგვყევით Google News-ზე

წყარო: https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/