บริษัทรักษาความปลอดภัยเปิดเผยช่องโหว่มูลค่า 500 ล้านเหรียญสหรัฐในบัญชี Multisig ของ TRON

เมื่อเร็ว ๆ นี้ นักวิจัยด้านความปลอดภัยได้เปิดเผยช่องโหว่ Zero-day ที่สำคัญในบล็อกเชน TRON ซึ่งอาจทำให้เงินดิจิทัลมูลค่า 500 ล้านดอลลาร์ถูกโจรกรรมได้

ช่องโหว่ดังกล่าวค้นพบโดยทีมวิจัย 0d ที่ห้องปฏิบัติการ dWallet โดยเจาะจงไปที่บัญชี multisig บน TRON blockchain

0d ทีมวิจัยความปลอดภัยทางไซเบอร์ระดับซูเปอร์สตาร์ของเราได้ค้นพบช่องโหว่ในบัญชี TRON multisig ซึ่งทำให้สินทรัพย์ดิจิทัลมูลค่ากว่า 500 ล้านดอลลาร์ตกอยู่ในความเสี่ยง – มันถูกเปิดเผยและแก้ไขแล้ว ดังนั้นจึงไม่มีสินทรัพย์ของผู้ใช้ที่ตกอยู่ในความเสี่ยงในขณะนี้
รายละเอียดทางเทคนิค:https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) May 30, 2023

บัญชี Multisig ต้องการลายเซ็นหลายรายการเพื่ออนุญาตการทำธุรกรรม อย่างไรก็ตาม ข้อบกพร่องในแนวทางของ TRON ในการใช้ multisig ทำให้ผู้ลงนามใด ๆ ที่เกี่ยวข้องกับบัญชี multisig ใดบัญชีหนึ่งสามารถเข้าถึงเงินภายในบัญชีนั้นได้อย่างอิสระ โดยไม่ต้องขออนุมัติจากผู้ลงนามรายอื่น

การกำกับดูแลในกระบวนการตรวจสอบของ TRON ทำให้การโจมตีสามารถเลี่ยงการรักษาความปลอดภัย multisig ของ blockchain ได้ทั้งหมด

Omer Sadika สมาชิกของทีมวิจัย 0d อธิบายว่า:

“กระบวนการตรวจสอบ multisig อาจถูกข้ามได้โดยการเซ็นชื่อในข้อความเดียวกันด้วย nonces ที่ไม่ได้กำหนดขึ้นเอง… พูดง่ายๆ คือ ผู้เซ็นชื่อคนเดียวสามารถสร้างลายเซ็นที่ถูกต้องได้หลายอันสำหรับข้อความเดียวกัน”

วิธีแก้ปัญหาสำหรับช่องโหว่ที่สำคัญนี้ค่อนข้างตรงไปตรงมา เนื่องจากขณะนี้มีการตรวจสอบลายเซ็นกับรายการที่อยู่แทนที่จะใช้รายการลายเซ็นเพียงอย่างเดียว

การตอบสนองอย่างรวดเร็วของ TRON ต่อข้อบกพร่องด้านความปลอดภัยแบบ multisig

ทีมวิจัย 0d รายงานช่องโหว่ทันทีผ่านโปรแกรมจับข้อบกพร่องของ TRON เมื่อวันที่ 19 กุมภาพันธ์ TRON ทำการแก้ไขช่องโหว่อย่างรวดเร็วภายในไม่กี่วัน และนักวิจัยยืนยันว่าเครื่องมือตรวจสอบความถูกต้องของ TRON ส่วนใหญ่ติดตั้งแพตช์ที่จำเป็นแล้ว

ในแถลงการณ์แยกต่างหากบน Twitter นักวิจัยเน้นย้ำว่าไม่มีทรัพย์สินของผู้ใช้ใดที่มีความเสี่ยงในขณะนี้ เนื่องจากช่องโหว่ดังกล่าวได้รับการแก้ไขเรียบร้อยแล้ว

ณ ตอนนี้ TRON ยังไม่ได้ออกแถลงการณ์สาธารณะเกี่ยวกับเหตุการณ์ดังกล่าว

ช่องโหว่ล่าสุด

การพัฒนาล่าสุดเกิดขึ้นพร้อมกับการค้นพบช่องโหว่ด้านความเป็นส่วนตัวที่สำคัญภายใน Monero blockchain โดยเฉพาะอย่างยิ่ง ข้อบกพร่องของ Monero ยังคงตรวจไม่พบบนเครือข่ายเป็นเวลากว่าสามปีก่อนที่จะพบและแก้ไขได้ทันท่วงที

ในอีกเหตุการณ์หนึ่งที่เกิดขึ้นกับภาค DeFi โปรโตคอล Jimbos ซึ่งสร้างขึ้นบนเครือข่าย Arbitrum ตกเป็นเหยื่อของการแสวงหาผลประโยชน์อย่างรุนแรง ส่งผลให้สูญเสีย 4,000 Ether เทียบเท่ากับประมาณ $ 7.5 ล้าน.

การพัฒนาล่าสุดเน้นย้ำถึงความสำคัญของมาตรการรักษาความปลอดภัยที่เข้มงวดและกระบวนการตรวจสอบอย่างละเอียดถี่ถ้วนในเทคโนโลยีบล็อกเชน การระบุและแก้ไขช่องโหว่อย่างรวดเร็วเป็นสิ่งสำคัญในการรักษาความปลอดภัยและความสมบูรณ์ของเครือข่าย cryptocurrency

ติดตามเราบน Google News

ที่มา: https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/