חוקרי אבטחה חשפו לאחרונה פגיעות קריטית של יום אפס בבלוקצ'יין TRON שעלולה לחשוף מטבעות קריפטוגרפיים בשווי 500 מיליון דולר לגניבה.
הפגיעות, שהתגלתה על ידי צוות המחקר של 0d במעבדות dWallet, כוונה במיוחד לחשבונות מולטי-sig ב-TRON blockchain.
חשבונות Multisig דורשים חתימות מרובות כדי לאשר עסקה. עם זאת, הפגם בגישה של TRON למולטי-סיג אפשר לכל חותם המשויך לחשבון מולטי-סיג מסוים לקבל גישה לכספים בתוך אותו חשבון באופן עצמאי, מבלי לדרוש אישור של חותמים אחרים.
פיקוח זה על תהליך האימות של TRON אפשר למתקפה לעקוף לחלוטין את אבטחת ה-multisig של הבלוקצ'יין.
עומר סדיקה, חבר בצוות המחקר של 0d, הסביר:
"ניתן היה לעקוף את תהליך האימות של מולטי-סיג על ידי חתימה על אותה הודעה עם אי-נקסים לא דטרמיניסטיים... במילים פשוטות, חותם אחד יכול ליצור מספר חתימות חוקיות עבור אותה הודעה."
הפתרון לפגיעות קריטית זו היה פשוט יחסית, מכיוון שהחתימות נבדקות כעת מול רשימת כתובות במקום להסתמך רק על רשימת חתימות.
התגובה המהירה של TRON לליקוי אבטחה מולטי סיג
צוות המחקר של 0d דיווח מיידית על הפגיעות באמצעות תוכנית הבאגים של TRON ב-19 בפברואר. TRON תיקן במהירות את הפגיעות תוך ימים, והחוקרים אישרו שרוב מאמתי TRON יישמו את התיקונים הדרושים.
בהצהרה נפרדת בטוויטר, הדגישו החוקרים כי אין כרגע נכסי משתמש בסיכון מכיוון שהפגיעות נפתרה בהצלחה.
נכון לעכשיו, TRON לא פרסמה את הצהרתה הפומבית בנוגע לאירוע.
נקודות תורפה אחרונות יותר
הפיתוח האחרון עולה בקנה אחד עם גילוי פגיעות פרטיות משמעותית בתוך הבלוקצ'יין של Monero. יש לציין כי באג Monero לא זוהה ברשת במשך יותר משלוש שנים לפני שזוהה ונפתרה מיידית.
במכה נוספת למגזר ה-DeFi, פרוטוקול ג'ימבו, שנבנה על רשת ארביטראם, נפל קורבן לניצול חמור שהביא לאובדן של 4,000 אתר, שווה ערך לכ $ 7.5 מיליון.
ההתפתחויות האחרונות מדגישות את החשיבות של אמצעי אבטחה קפדניים ותהליכי ביקורת יסודיים בטכנולוגיות בלוקצ'יין. זיהוי וטיפול בנקודות תורפה במהירות חיוניים לשמירה על האבטחה והשלמות של רשתות מטבעות קריפטוגרפיים.
מקור: https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/