TRON уникає вразливості до мультипідпису на 500 мільйонів доларів

Помилку виправлено, і жодні активи користувача не знаходяться під загрозою.

30 травня дослідники безпеки розкрили вразливість у блокчейні TRON, яка раніше поставила під загрозу 500 мільйонів доларів у криптовалюті.

Підписувач міг отримати доступ до облікового запису з кількома підписами

За словами дослідницької групи 0d з dWallet Labs, критична вразливість нульового дня в блокчейні TRON робить облікові записи з кількома підписами вразливими до крадіжки.

Як випливає з назви, облікові записи з декількома підписами повинні пройти кілька підписів, перш ніж транзакцію можна буде виконати. Однак уразливість, виявлена в TRON, дозволить будь-якому підписувачу, пов’язаному з будь-яким заданим обліковим записом multisig, отримати індивідуальний доступ до коштів у цьому обліковому записі.

Недбалість TRON щодо підходу до мультипідпису означає, що процес перевірки не перевіряє всю необхідну інформацію. За словами дослідників 0d, цей тип атаки «повністю подолає» багатосигнатурний захист TRON.

Член команди Омер Садіка написав:

«…процес перевірки кількох підписів можна було обійти, підписавши те саме повідомлення за допомогою недетермінованого випадкового числа… Коротше кажучи, один підписувач міг створити кілька дійсних підписів для одного повідомлення».

На думку дослідників, вирішення цієї проблеми просте. Тепер підписи перевіряються за списком адрес, а не лише за списком підписів.

Про вразливість повідомлено в лютому

Дослідницька група 0d заявила, що вони повідомили про проблему через програму винагороди за помилки TRON 19 лютого. Команда додала, що TRON виправив уразливість протягом кількох днів, і вони заявили, що більшість валідаторів TRON тепер виправлено.

В окремій заяві Twitter дослідники підкреслили, що «жодні активи користувачів не знаходяться під загрозою» тепер, коли вразливість усунуто.

TRON ще не зробив власної публічної заяви.