В сети блокчейна Tron была критическая уязвимость, которая поставила под угрозу 500 миллионов долларов, но теперь она устранена, по словам 0d — исследовательской группы по кибербезопасности в dWallet Labs, которая обнаружила ошибку.
Критическая уязвимость нулевого дня относилась к учетным записям Tron с мультиподписью, которые могли позволить любому подписавшемуся получить неограниченный доступ, потенциально подвергая опасности цифровые активы, хранящиеся внутри, заявил во вторник 0d. Об уязвимости сообщил 19 февраля Od to Tron через программу вознаграждения за обнаружение ошибок на HackerOne и она была исправлена «в течение нескольких дней».
Представитель Tron подтвердил The Block, что команда сети получила отчет об ошибке от HackerOne, а затем команда «быстро устранила проблему и применила необходимые исправления, чтобы гарантировать, что уязвимость не может быть использована».
«Мы можем с уверенностью утверждать, что выявленная проблема была эффективно решена, тем самым обезопасив систему», — добавил представитель.
Первопричина
Основная причина уязвимости кроется в «предположении, лежащем в основе процесса проверки», — сказал Омер Садика, соучредитель Odsy Network, которая управляет 0d и dWallet Labs.
«Процесс проверки на Tron проверял, была ли определенная подпись уже подсчитана, прежде чем она была подсчитана к порогу», — сказал Садика. «Итак, предполагается, что две разные действительные подписи для одного и того же сообщения не могут быть созданы одним и тем же человеком».
По словам Ода, хотя уязвимость была критической, ее было легко устранить. «Вместо того, чтобы сверять подпись со списком подписей, сверяйте подписанный адрес со списком адресов», — говорится в сообщении.
Непонятен размер награды, которую 0d получил от Tron.
По данным DefiLlama, Tron является второй по величине сетью блокчейнов после Ethereum с точки зрения общей заблокированной стоимости и обращения стейблкоинов. Tron TVL в настоящее время составляет около 6 миллиардов долларов, а оборот стейблкоинов превышает 45 миллиардов долларов.
