I ricercatori di sicurezza hanno recentemente rivelato una vulnerabilità critica zero-day nella blockchain TRON che potrebbe potenzialmente esporre al furto criptovaluta per un valore di 500 milioni di dollari.
La vulnerabilità, scoperta dal team di ricerca 0d presso i laboratori dWallet, ha preso di mira specificamente gli account multisig sulla blockchain TRON.
Gli account multisig richiedono più firme per autorizzare una transazione. Tuttavia, il difetto nell'approccio di TRON al multisig ha consentito a qualsiasi firmatario associato a un particolare account multisig di ottenere l'accesso ai fondi all'interno di tale account in modo indipendente, senza richiedere l'approvazione di altri firmatari.
Questa svista nel processo di verifica di TRON ha consentito all'attacco di aggirare completamente la sicurezza multisig della blockchain.
Omer Sadika, un membro del gruppo di ricerca 0d, ha spiegato:
"Il processo di verifica multisig avrebbe potuto essere aggirato firmando lo stesso messaggio con nonce non deterministici... In poche parole, un firmatario può creare più firme valide per lo stesso messaggio."
La soluzione a questa vulnerabilità critica è stata relativamente semplice, poiché ora le firme vengono verificate rispetto a un elenco di indirizzi anziché basarsi esclusivamente su un elenco di firme.
La rapida risposta di TRON al difetto di sicurezza multisig
Il 0 febbraio, il team di ricerca di 19d ha prontamente segnalato la vulnerabilità tramite il programma bug bounty di TRON. TRON ha risolto rapidamente la vulnerabilità in pochi giorni e i ricercatori hanno confermato che la maggior parte dei validatori di TRON aveva implementato le patch necessarie.
In una dichiarazione separata su Twitter, i ricercatori hanno sottolineato che nessuna risorsa utente è attualmente a rischio poiché la vulnerabilità è stata risolta con successo.
A partire da ora, TRON non ha rilasciato la sua dichiarazione pubblica in merito all'incidente.
Vulnerabilità più recenti
L'ultimo sviluppo coincide con la scoperta di una significativa vulnerabilità della privacy all'interno della blockchain Monero. In particolare, il bug di Monero è rimasto inosservato sulla rete per oltre tre anni prima di essere identificato e prontamente risolto.
Ancora un altro colpo al settore DeFi, il protocollo Jimbos, costruito sulla rete Arbitrum, è stato vittima di un grave exploit che ha comportato la perdita di 4,000 Ether, pari a circa $7.5 milioni.
I recenti sviluppi evidenziano l'importanza di rigorose misure di sicurezza e processi di audit approfonditi nelle tecnologie blockchain. Identificare e affrontare rapidamente le vulnerabilità è fondamentale per mantenere la sicurezza e l'integrità delle reti di criptovaluta.
Fonte: https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/