უსაფრთხოების მკვლევარებმა 30 მაისს გამოავლინეს დაუცველობა TRON ბლოკჩეინში, რამაც ადრე 500 მილიონი დოლარის კრიპტო რისკის ქვეშ დააყენა.
ერთ ხელმომწერს შეეძლო წვდომა mulitisig ანგარიშებზე
0d კვლევითმა ჯგუფმა dWallet labs-ში განაცხადა, რომ TRON-ის ბლოკჩეინში კრიტიკული ნულოვანი დღის დაუცველობამ მულტიზიგ ანგარიშები ღია დატოვა ქურდობისთვის.
Multi-sig ანგარიშები უნდა იყოს ხელმოწერილი მრავალი ხელმოწერით, სანამ ისინი შეასრულებენ ტრანზაქციას, როგორც სახელიდან ჩანს. თუმცა, TRON-ში აღმოჩენილი დაუცველობა საშუალებას მისცემდა ნებისმიერ ხელმომწერს, რომელიც დაკავშირებულია ნებისმიერ მოცემულ multisig ანგარიშთან, ერთპიროვნულად წვდომოდა ამ ანგარიშში არსებულ სახსრებს.
TRON-ის მიდგომა მულტისიგთან დაკავშირებული ზედამხედველობა ნიშნავდა, რომ მისი გადამოწმების პროცესი არ ამოწმებდა ყველა საჭირო ინფორმაციას. 0d-ის მკვლევარების აზრით, შეტევის ეს ხაზი „სრულად გადალახავდა“ TRON-ის მრავალსიგრულ უსაფრთხოებას.
გუნდის წევრი ომერ სადიკა წერდა:
”… მულტისიგების გადამოწმების პროცესი [შეიძლება] გვერდის ავლით ერთი და იგივე გზავნილის ხელმოწერით არადეტერმინისტული ნუსხებით… მარტივად რომ ვთქვათ, ერთ ხელმომწერს შეუძლია შექმნას მრავალი მოქმედი ხელმოწერა ერთი და იმავე შეტყობინებისთვის.”
მკვლევარების აზრით, ამ პრობლემის გადაწყვეტა მარტივი იყო. ახლა ხელმოწერები მოწმდება მისამართების სიით და არა მხოლოდ ხელმოწერების სიით.
დაუცველობა დაფიქსირდა თებერვალში
0d კვლევითმა ჯგუფმა თქვა, რომ მათ შეატყობინეს პრობლემა TRON-ის შეცდომების ბონუტი პროგრამის მეშვეობით 19 თებერვალს. გუნდმა დაამატა, რომ TRON-მა დაუცველობა რამდენიმე დღეში გაასწორა და მათ თქვეს, რომ TRON ვალიდატორების უმეტესობა ახლა შესწორებულია.
მკვლევარებმა ცალკე Twitter-ის განცხადებაში ხაზგასმით აღნიშნეს, რომ „მომხმარებლის აქტივები რისკის ქვეშ არ არის“ ახლა, როდესაც დაუცველობა გამოსწორებულია.
TRON-ს ჯერ არ გაუკეთებია საკუთარი საჯარო განცხადება.
პოსტი TRON-მა თავიდან აიცილა 500 მილიონი დოლარის მრავალმნიშვნელოვანი დაუცველობა, პირველად გამოჩნდა CryptoSlate-ზე.
წყარო: https://cryptoslate.com/tron-avoided-500m-multisig-vulnerability/