Tech

TRON vermeed een multisig-kwetsbaarheid van $ 500 miljoen

11 maanden geleden
Bitcoin Ethereum Nieuws

Beveiligingsonderzoekers hebben op 30 mei een kwetsbaarheid in de TRON-blockchain onthuld die eerder $ 500 miljoen aan crypto in gevaar bracht.

Eén ondertekenaar kan toegang hebben gehad tot meerdere accounts

Het 0d-onderzoeksteam van dWallet Labs zei dat een kritieke zero-day-kwetsbaarheid in de TRON-blockchain ervoor zorgde dat multisig-accounts konden worden gestolen.

Multi-sig-accounts moeten worden ondertekend met meerdere handtekeningen voordat ze een transactie uitvoeren, zoals de naam al doet vermoeden. Door de kwetsbaarheid die in TRON is gevonden, zou elke ondertekenaar die aan een bepaald multisig-account is gekoppeld, in zijn eentje toegang hebben gekregen tot het geld binnen dat account.

Beeld

Onoplettendheid in TRON's benadering van multisig betekende dat het verificatieproces niet alle benodigde informatie verifieerde. Deze aanvalslinie zou TRON's multisig-beveiliging "volledig hebben overwonnen", aldus 0d-onderzoekers.

Teamlid Omer Sadika schreef:

"... Het multisig-verificatieproces [had kunnen] worden omzeild door hetzelfde bericht te ondertekenen met niet-deterministische nonces... Simpel gezegd, één ondertekenaar kan meerdere geldige handtekeningen voor hetzelfde bericht maken."

De oplossing voor dit probleem was volgens onderzoekers simpel. Handtekeningen worden nu gecontroleerd aan de hand van een lijst met adressen, niet alleen met een lijst met handtekeningen.

In februari werd een beveiligingslek gemeld

Het 0d-onderzoeksteam zei dat ze het probleem op 19 februari via TRON's bug bounty-programma hadden gemeld. Het team voegde eraan toe dat TRON de kwetsbaarheid binnen enkele dagen had gepatcht, en ze zeiden dat de meeste TRON-validators nu zijn gepatcht.

Onderzoekers benadrukten in een aparte Twitter-verklaring dat "er geen gebruikersactiva in gevaar zijn" nu de kwetsbaarheid is verholpen.

TRON heeft nog geen eigen openbare verklaring afgegeven.

Het bericht TRON vermeed een multisig-kwetsbaarheid van $ 500 miljoen verscheen eerst op CryptoSlate.

Bron: https://cryptoslate.com/tron-avoided-500m-multisig-vulnerability/