Güvenlik firması TRON'un çoklu imza hesaplarındaki 500 milyon dolarlık güvenlik açığını ortaya çıkardı

Güvenlik araştırmacıları yakın zamanda, TRON blok zincirinde potansiyel olarak 500 milyon dolar değerinde kripto para birimini hırsızlığa maruz bırakabilecek kritik bir sıfır gün güvenlik açığını açıkladılar.

0d araştırma ekibi tarafından dWallet laboratuvarlarında keşfedilen güvenlik açığı, özellikle TRON blok zincirindeki multisig hesaplarını hedef aldı.

Süperstar siber güvenlik araştırma ekibimiz 0d, TRON multisig hesaplarında 500 milyon dolardan fazla dijital varlığı riske atan bir güvenlik açığı keşfetti – bu açıklandı ve düzeltildi, böylece şu anda risk altında hiçbir kullanıcı varlığı yok.
Teknik bir arıza: https://t.co/nMj6kV6Oc3
— dWallet Laboratuvarları (@dWalletLabs) Mayıs 30, 2023

Multisig hesapları, bir işleme yetki vermek için birden çok imza gerektirir. Bununla birlikte, TRON'un multisig yaklaşımındaki kusur, belirli bir multisig hesabıyla ilişkili herhangi bir imzalayanın, diğer imzalayanların onayını gerektirmeden, o hesaptaki fonlara bağımsız olarak erişmesine izin verdi.

TRON'un doğrulama sürecindeki bu gözetim, saldırının blok zincirinin çoklu imza güvenliğini tamamen atlamasını sağladı.

0d araştırma ekibinin bir üyesi olan Ömer Sadika, şunları söyledi:

"Aynı mesajı deterministik olmayan nons'larla imzalayarak çoklu imza doğrulama süreci atlanabilirdi... Basitçe söylemek gerekirse, bir imzalayan aynı mesaj için birden fazla geçerli imza oluşturabilir."

İmzalar artık yalnızca bir imza listesine dayanmak yerine bir adres listesine göre kontrol edildiğinden, bu kritik güvenlik açığının çözümü nispeten basitti.

TRON'un multisig güvenlik açığına hızlı yanıtı

0d araştırma ekibi, güvenlik açığını 19 Şubat'ta TRON'un hata ödül programı aracılığıyla derhal bildirdi. TRON, güvenlik açığını günler içinde hızla yamaladı ve araştırmacılar, çoğu TRON doğrulayıcısının gerekli yamaları uyguladığını doğruladı.

Araştırmacılar, Twitter üzerinden yaptıkları ayrı bir açıklamada, güvenlik açığı başarıyla çözüldüğü için şu anda hiçbir kullanıcı varlığının risk altında olmadığını vurguladı.

Şu an itibariyle TRON, olayla ilgili kamuoyuna açıklama yapmadı.

Daha yeni güvenlik açıkları

En son gelişme, Monero blok zincirinde önemli bir gizlilik açığının keşfedilmesiyle aynı zamana denk geliyor. Özellikle, Monero hatası, tanımlanıp hemen çözülmeden önce üç yıldan fazla bir süre ağda tespit edilmeden kaldı.

DeFi sektörüne bir başka darbe daha, Arbitrum ağı üzerine inşa edilen Jimbos Protokolü, yaklaşık olarak 4,000 Ether kaybına neden olan ciddi bir istismarın kurbanı oldu. $ 7.5 milyon.

Son gelişmeler, blockchain teknolojilerinde sıkı güvenlik önlemlerinin ve kapsamlı denetim süreçlerinin önemini vurgulamaktadır. Güvenlik açıklarını hızlı bir şekilde belirlemek ve ele almak, kripto para birimi ağlarının güvenliğini ve bütünlüğünü korumak için çok önemlidir.

Bizi Google Haberler'de Takip Edin

Kaynak: https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/