Эксперты обнаружили в блокчейне TRON уязвимость на 500 млн долларов
Угроза, обнаруженная в феврале, к настоящему моменту устранена
30.05.2023 - 15:55
701
4 мин
0
Что произошло? Эксперты компании в сфере кибербезопасности dWallet Labs обнаружили уязвимость в аккаунтах с мультиподписью на блокчейне TRON, которая могла привести к потенциальному ущербу в размере 500 млн долларов. Уязвимость нулевого дня позволяла злоумышленникам обойти механизм мультиподписи и подтвердить транзакцию с помощью всего лишь одной подписи. Исследователи отметили, что проблема была оперативно устранена командой TRON в течение нескольких дней после уведомления в феврале текущего года.
Уязвимостью нулевого дня называют недостаток в коде программного обеспечения, неизвестный его разработчикам и потенциально позволяющий проводить кибератаки в случае обнаружения злоумышленниками.
Что еще известно? Multisig-кошельки требуют подтверждения (подписи) от нескольких доверенных лиц, определенных в контракте, для одобрения транзакции и перемещения средств. Каждый подписант имеет свои собственные закрытые ключи, а для одобрения требуется преодоление определенного порога.
Обнаруженная экспертами dWallet Labs уязвимость позволяла злоумышленникам генерировать множество действительных подписей:
«Мы можем обойти процесс многосторонней верификации, подписав то же самое сообщение недетерминированными одноразовыми номерами <nonces — ред.> по нашему выбору. Таким образом, мы сможем сгенерировать множество действительных различных подписей для одного и того же сообщения с использованием того же приватного ключа».
Специалисты Unciphered нашли способ взлома криптокошелька Trezor T
Компании удалось получить seed-фразу и пин-код с помощью обнаруженной уязвимости в чипе устройства
По словам исследователей, TRON проверял уникальность подписей вместо того, чтобы проверять уникальность подписантов. Из-за этого подписанты могли дважды подтверждать транзакции. Решением проблемы стало внедрение проверки адресов, а не количества подписей.
Согласно данным компании по кибербезопасности CertiK, общий ущерб от действий хакеров и мошенников в криптосфере в апреле составил 103,6 млн долларов, а с начала года — 429,7 млн долларов.
Полезный материал?
Рынки
Аналитики отмечают, что с 2024 по 2030 годы будут разблокированы токены на 155 млрд долларов
17 мая 2024 г.
Технологии
Новый механизм уже позволил вычислить свыше десятка миллионов мошеннических адресов
16 мая 2024 г.
Происшествия
Сумма ущерба составила 25 млн долларов в криптовалютах
16 мая 2024 г.
Рынки
Клиенты FTX получат компенсации в денежной форме, в отличие от клиентов Mt. Gox и Gemini, которые получат криптовалюты
16 мая 2024 г.
Технологии
Она доступна пользователям криптокошелька по всему миру в качестве дополнительной функции
15 мая 2024 г.
Рынки
Экс-чиновник, известный своими инициативами по изучению потенциала блокчейна в финансовой системе, вошел в совет директоров финтех-компании
14 мая 2024 г.