Sicherheitsforscher haben kürzlich eine kritische Zero-Day-Schwachstelle in der TRON-Blockchain aufgedeckt, die potenziell Kryptowährungen im Wert von 500 Millionen US-Dollar dem Diebstahl aussetzen könnte.
Die vom 0d-Forschungsteam der dWallet Labs entdeckte Schwachstelle zielte speziell auf Multisig-Konten in der TRON-Blockchain ab.
Multisig-Konten erfordern mehrere Signaturen, um eine Transaktion zu autorisieren. Der Fehler im Multisig-Ansatz von TRON ermöglichte es jedoch jedem Unterzeichner, der mit einem bestimmten Multisig-Konto verbunden ist, unabhängig auf die Gelder auf diesem Konto zuzugreifen, ohne dass die Zustimmung anderer Unterzeichner erforderlich war.
Dieses Versehen im Verifizierungsprozess von TRON ermöglichte es dem Angriff, die Multisig-Sicherheit der Blockchain vollständig zu umgehen.
Omer Sadika, ein Mitglied des 0d-Forschungsteams, erklärte:
„Der Multisig-Verifizierungsprozess hätte umgangen werden können, indem man dieselbe Nachricht mit nicht deterministischen Nonces signiert hätte … Einfach ausgedrückt: Ein Unterzeichner kann mehrere gültige Signaturen für dieselbe Nachricht erstellen.“
Die Lösung dieser kritischen Sicherheitslücke war relativ einfach, da Signaturen nun anhand einer Liste von Adressen überprüft werden, anstatt sich ausschließlich auf eine Liste von Signaturen zu verlassen.
TRONs schnelle Reaktion auf die Sicherheitslücke bei mehreren Signaturen
Das 0d-Forschungsteam meldete die Schwachstelle umgehend über das Bug-Bounty-Programm von TRON am 19. Februar. TRON hat die Schwachstelle innerhalb weniger Tage schnell gepatcht und die Forscher bestätigten, dass die meisten TRON-Validatoren die notwendigen Patches implementiert hatten.
In einer separaten Erklärung auf Twitter betonten die Forscher, dass derzeit keine Benutzerressourcen gefährdet seien, da die Schwachstelle erfolgreich behoben wurde.
Bisher hat TRON keine öffentliche Erklärung zu dem Vorfall abgegeben.
Neuere Schwachstellen
Die neueste Entwicklung fällt mit der Entdeckung einer erheblichen Datenschutzlücke in der Monero-Blockchain zusammen. Bemerkenswert ist, dass der Monero-Fehler über drei Jahre lang im Netzwerk unentdeckt blieb, bevor er identifiziert und umgehend behoben wurde.
Ein weiterer Schlag für den DeFi-Sektor war, dass das Jimbos-Protokoll, das auf dem Arbitrum-Netzwerk basiert, Opfer eines schweren Exploits wurde, der zum Verlust von 4,000 Ether führte, was etwa XNUMX Ether entspricht 7.5 Mio. US$.
Die jüngsten Entwicklungen unterstreichen die Bedeutung strenger Sicherheitsmaßnahmen und gründlicher Prüfprozesse bei Blockchain-Technologien. Das schnelle Erkennen und Beheben von Schwachstellen ist für die Aufrechterhaltung der Sicherheit und Integrität von Kryptowährungsnetzwerken von entscheidender Bedeutung.
Quelle: https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/