Эксперты обнаружили в блокчейне TRON уязвимость на 500 млн долларов
Угроза, обнаруженная в феврале, к настоящему моменту устранена
30.05.2023 - 15:55
1109
4 мин
0
Что произошло? Эксперты компании в сфере кибербезопасности dWallet Labs обнаружили уязвимость в аккаунтах с мультиподписью на блокчейне TRON, которая могла привести к потенциальному ущербу в размере 500 млн долларов. Уязвимость нулевого дня позволяла злоумышленникам обойти механизм мультиподписи и подтвердить транзакцию с помощью всего лишь одной подписи. Исследователи отметили, что проблема была оперативно устранена командой TRON в течение нескольких дней после уведомления в феврале текущего года.
Уязвимостью нулевого дня называют недостаток в коде программного обеспечения, неизвестный его разработчикам и потенциально позволяющий проводить кибератаки в случае обнаружения злоумышленниками.
Что еще известно? Multisig-кошельки требуют подтверждения (подписи) от нескольких доверенных лиц, определенных в контракте, для одобрения транзакции и перемещения средств. Каждый подписант имеет свои собственные закрытые ключи, а для одобрения требуется преодоление определенного порога.
Обнаруженная экспертами dWallet Labs уязвимость позволяла злоумышленникам генерировать множество действительных подписей:
«Мы можем обойти процесс многосторонней верификации, подписав то же самое сообщение недетерминированными одноразовыми номерами <nonces — ред.> по нашему выбору. Таким образом, мы сможем сгенерировать множество действительных различных подписей для одного и того же сообщения с использованием того же приватного ключа».
Специалисты Unciphered нашли способ взлома криптокошелька Trezor T
Компании удалось получить seed-фразу и пин-код с помощью обнаруженной уязвимости в чипе устройства
По словам исследователей, TRON проверял уникальность подписей вместо того, чтобы проверять уникальность подписантов. Из-за этого подписанты могли дважды подтверждать транзакции. Решением проблемы стало внедрение проверки адресов, а не количества подписей.
Согласно данным компании по кибербезопасности CertiK, общий ущерб от действий хакеров и мошенников в криптосфере в апреле составил 103,6 млн долларов, а с начала года — 429,7 млн долларов.
Полезный материал?
Майнинг
Ограничения призваны сохранить баланс энергопотребления с учетом запросов промышленности
24 дек. 2024 г.
Рынки
Из-за дефицита предложения курс актива на премаркете поднимался выше $1000
16 дек. 2024 г.
Происшествия
Сообщения о взломе биржи с призывами выводить активы начали распространяться 13 декабря
13 дек. 2024 г.
Крипторегулирование
Изменения не затронут стейблкоины от эмитента Circle
12 дек. 2024 г.
Крипторегулирование
Платформа запустится после выполнения предварительных условий местного валютного управления
9 дек. 2024 г.
Рынки
Показатель в 1,1 млрд долларов был достигнут после коррекции биткоина
6 дек. 2024 г.