Эксперты обнаружили в блокчейне TRON уязвимость на 500 млн долларов
Угроза, обнаруженная в феврале, к настоящему моменту устранена
30.05.2023 - 15:55
1603
4 мин
0
Что произошло? Эксперты компании в сфере кибербезопасности dWallet Labs обнаружили уязвимость в аккаунтах с мультиподписью на блокчейне TRON, которая могла привести к потенциальному ущербу в размере 500 млн долларов. Уязвимость нулевого дня позволяла злоумышленникам обойти механизм мультиподписи и подтвердить транзакцию с помощью всего лишь одной подписи. Исследователи отметили, что проблема была оперативно устранена командой TRON в течение нескольких дней после уведомления в феврале текущего года.

Уязвимостью нулевого дня называют недостаток в коде программного обеспечения, неизвестный его разработчикам и потенциально позволяющий проводить кибератаки в случае обнаружения злоумышленниками.
Что еще известно? Multisig-кошельки требуют подтверждения (подписи) от нескольких доверенных лиц, определенных в контракте, для одобрения транзакции и перемещения средств. Каждый подписант имеет свои собственные закрытые ключи, а для одобрения требуется преодоление определенного порога.
Обнаруженная экспертами dWallet Labs уязвимость позволяла злоумышленникам генерировать множество действительных подписей:
«Мы можем обойти процесс многосторонней верификации, подписав то же самое сообщение недетерминированными одноразовыми номерами <nonces — ред.> по нашему выбору. Таким образом, мы сможем сгенерировать множество действительных различных подписей для одного и того же сообщения с использованием того же приватного ключа».
Специалисты Unciphered нашли способ взлома криптокошелька Trezor T
Компании удалось получить seed-фразу и пин-код с помощью обнаруженной уязвимости в чипе устройства
По словам исследователей, TRON проверял уникальность подписей вместо того, чтобы проверять уникальность подписантов. Из-за этого подписанты могли дважды подтверждать транзакции. Решением проблемы стало внедрение проверки адресов, а не количества подписей.
Согласно данным компании по кибербезопасности CertiK, общий ущерб от действий хакеров и мошенников в криптосфере в апреле составил 103,6 млн долларов, а с начала года — 429,7 млн долларов.
Полезный материал?
Происшествия
Разработчики предупредили о рисках для мостов и обратились к биржам за помощью.
22 июн. 2026 г.
Происшествия
Осужденный помогал переводить средства жертв инвестиционных афер и заработал на этом не менее $4 млн.
10 июн. 2026 г.
Происшествия
Компания связывает инцидент с компрометацией приватного ключа сервисного кошелька, а не со взломом смарт-контрактов.
22 мая 2026 г.
Происшествия
После инцидента проект временно остановил торговые операции и работу узлов.
15 мая 2026 г.
Происшествия
Пользователь безуспешно подбирал пароль несколько недель, пока ИИ не помог найти старую резервную копию кошелька
14 мая 2026 г.
Крипторегулирование
Власти вводят обязательную регистрацию для компаний, работающих с трансграничными криптопереводами
8 мая 2026 г.