Beveiligingsbedrijf legt kwetsbaarheid van $ 500 miljoen bloot in de multisig-accounts van TRON

Beveiligingsonderzoekers hebben onlangs een kritieke zero-day-kwetsbaarheid in de TRON-blockchain onthuld die mogelijk $ 500 miljoen aan cryptocurrency kan blootstellen aan diefstal.

De kwetsbaarheid, ontdekt door het 0d-onderzoeksteam van dWallet Labs, was specifiek gericht op multisig-accounts op de TRON-blockchain.

0d, ons superster-onderzoeksteam voor cyberbeveiliging, ontdekte een kwetsbaarheid in TRON-multisig-accounts die meer dan $ 500 miljoen aan digitale activa in gevaar bracht. Het werd onthuld en verholpen, dus er zijn nu geen gebruikersactiva meer in gevaar.
Een technische storing: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) 30 mei 2023

Multisig-accounts vereisen meerdere handtekeningen om een transactie te autoriseren. Door de fout in TRON's benadering van multisig kon elke ondertekenaar die aan een bepaald multisig-account was gekoppeld, onafhankelijk toegang krijgen tot het geld binnen dat account, zonder dat de goedkeuring van andere ondertekenaars nodig was.

Door deze onoplettendheid in het verificatieproces van TRON kon de aanval de multisig-beveiliging van de blockchain volledig omzeilen.

Omer Sadika, een lid van het onderzoeksteam van 0d, legt uit:

"Het multisig-verificatieproces had kunnen worden omzeild door hetzelfde bericht te ondertekenen met niet-deterministische nonces... Simpel gezegd, één ondertekenaar kan meerdere geldige handtekeningen voor hetzelfde bericht maken."

De oplossing voor deze kritieke kwetsbaarheid was relatief eenvoudig, aangezien handtekeningen nu worden gecontroleerd aan de hand van een lijst met adressen in plaats van alleen te vertrouwen op een lijst met handtekeningen.

TRON's snelle reactie op multisig-beveiligingsfout

Het 0d-onderzoeksteam rapporteerde de kwetsbaarheid prompt via het bug bounty-programma van TRON op 19 februari. TRON loste de kwetsbaarheid snel binnen enkele dagen op en de onderzoekers bevestigden dat de meeste TRON-validators de nodige patches hadden geïmplementeerd.

In een aparte verklaring op Twitter benadrukten de onderzoekers dat er momenteel geen gebruikersactiva in gevaar zijn, aangezien de kwetsbaarheid met succes is opgelost.

Vanaf nu heeft TRON geen openbare verklaring over het incident afgegeven.

Meer recente kwetsbaarheden

De nieuwste ontwikkeling valt samen met de ontdekking van een aanzienlijk privacylek binnen de Monero-blockchain. Met name de Monero-bug bleef meer dan drie jaar onopgemerkt op het netwerk voordat hij werd geïdentificeerd en onmiddellijk werd opgelost.

In nog een andere klap voor de DeFi-sector werd het Jimbos-protocol, gebouwd op het Arbitrum-netwerk, het slachtoffer van een ernstige exploit die resulteerde in het verlies van 4,000 Ether, gelijk aan ongeveer $ 7.5 miljoen.

De recente ontwikkelingen benadrukken het belang van rigoureuze beveiligingsmaatregelen en grondige auditprocessen in blockchain-technologieën. Het snel identificeren en aanpakken van kwetsbaarheden is cruciaal voor het handhaven van de veiligheid en integriteit van cryptocurrency-netwerken.

Volg ons op Google Nieuws

Bron: https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/