Studiuesit e sigurisë kanë zbuluar kohët e fundit një cenueshmëri kritike zero-ditore në blockchain TRON që mund të ekspozojë potencialisht 500 milionë dollarë kriptomonedhë ndaj vjedhjeve.
Dobësia, e zbuluar nga ekipi i kërkimit 0d në laboratorët dWallet, synonte në mënyrë specifike llogaritë multisig në zinxhirin e bllokut TRON.
Llogaritë Multisig kërkojnë nënshkrime të shumta për të autorizuar një transaksion. Megjithatë, e meta në qasjen e TRON për multisig lejoi çdo nënshkrues të lidhur me një llogari të veçantë multisig të fitonte akses në fondet brenda asaj llogarie në mënyrë të pavarur, pa kërkuar miratimin e nënshkruesve të tjerë.
Kjo mbikëqyrje në procesin e verifikimit të TRON mundësoi që sulmi të anashkalonte plotësisht sigurinë multisig të blockchain.
Omer Sadika, një anëtar i ekipit hulumtues 0d, shpjegoi:
“Procesi i verifikimit me shumë shenja mund të ishte anashkaluar duke nënshkruar të njëjtin mesazh me nonces jo-përcaktuese…Thënë thjesht, një nënshkrues mund të krijojë nënshkrime të shumta të vlefshme për të njëjtin mesazh.”
Zgjidhja për këtë cenueshmëri kritike ishte relativisht e drejtpërdrejtë, pasi nënshkrimet tani kontrollohen me një listë adresash në vend që të mbështeten vetëm në një listë nënshkrimesh.
Përgjigja e shpejtë e TRON ndaj të metave të sigurisë me shumë shenja
Ekipi hulumtues i 0d raportoi menjëherë cenueshmërinë përmes programit të bug bounty të TRON-it më 19 shkurt. TRON e rregulloi me shpejtësi cenueshmërinë brenda disa ditësh dhe studiuesit konfirmuan se shumica e validuesve të TRON kishin zbatuar arnimet e nevojshme.
Në një deklaratë të veçantë në Twitter, studiuesit theksuan se asnjë aset i përdoruesit nuk është aktualisht në rrezik pasi cenueshmëria është zgjidhur me sukses.
Deri tani, TRON nuk ka lëshuar deklaratën e tij publike në lidhje me incidentin.
Dobësitë më të fundit
Zhvillimi i fundit përkon me zbulimin e një cenueshmërie të rëndësishme të privatësisë brenda blockchain Monero. Veçanërisht, defekti Monero mbeti i pazbuluar në rrjet për më shumë se tre vjet përpara se të identifikohej dhe zgjidhej menjëherë.
Në një goditje tjetër ndaj sektorit DeFi, Protokolli Jimbos, i ndërtuar në rrjetin Arbitrum, ra viktimë e një shfrytëzimi të rëndë që rezultoi në humbjen e 4,000 Ether, ekuivalent me përafërsisht $ 7.5 milion.
Zhvillimet e fundit theksojnë rëndësinë e masave rigoroze të sigurisë dhe proceseve të auditimit të plotë në teknologjitë blockchain. Identifikimi dhe adresimi i shpejtë i dobësive është thelbësor për ruajtjen e sigurisë dhe integritetit të rrjeteve të kriptomonedhave.
Burimi: https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/