Peneliti keamanan baru-baru ini mengungkapkan kerentanan kritis zero-day di blockchain TRON yang berpotensi mengekspos cryptocurrency senilai $500 juta untuk dicuri.
Kerentanan, ditemukan oleh tim riset 0d di lab dWallet, secara khusus menargetkan akun multisig di blockchain TRON.
Akun multisig memerlukan banyak tanda tangan untuk mengotorisasi transaksi. Namun, kelemahan dalam pendekatan TRON terhadap multisig memungkinkan penandatangan mana pun yang terkait dengan akun multisig tertentu untuk mendapatkan akses ke dana di dalam akun tersebut secara mandiri, tanpa memerlukan persetujuan dari penandatangan lain.
Pengawasan dalam proses verifikasi TRON ini memungkinkan serangan untuk melewati keamanan multisig blockchain sepenuhnya.
Omer Sadika, anggota tim peneliti 0d menjelaskan:
“Proses verifikasi multitanda dapat dilewati dengan menandatangani pesan yang sama dengan non-deterministik nonces…Sederhananya, satu penanda tangan dapat membuat beberapa tanda tangan yang valid untuk pesan yang sama.”
Solusi untuk kerentanan kritis ini relatif mudah, karena tanda tangan sekarang diperiksa berdasarkan daftar alamat, bukan hanya mengandalkan daftar tanda tangan.
Respons cepat TRON terhadap kelemahan keamanan multisig
Tim peneliti pertama segera melaporkan kerentanan tersebut melalui program hadiah bug TRON pada 0 Februari. TRON dengan cepat menambal kerentanan dalam beberapa hari, dan para peneliti mengonfirmasi bahwa sebagian besar validator TRON telah mengimplementasikan tambalan yang diperlukan.
Dalam pernyataan terpisah di Twitter, para peneliti menekankan bahwa saat ini tidak ada aset pengguna yang berisiko karena kerentanan telah berhasil diselesaikan.
Hingga saat ini, TRON belum mengeluarkan pernyataan publik terkait insiden tersebut.
Kerentanan yang lebih baru
Perkembangan terbaru bertepatan dengan penemuan kerentanan privasi yang signifikan dalam blockchain Monero. Khususnya, bug Monero tetap tidak terdeteksi di jaringan selama lebih dari tiga tahun sebelum diidentifikasi dan segera diselesaikan.
Dalam pukulan lain ke sektor DeFi, Protokol Jimbos, yang dibangun di jaringan Arbitrum, menjadi korban eksploitasi parah yang mengakibatkan hilangnya 4,000 Ether, setara dengan kira-kira $ 7.5 juta.
Perkembangan terkini menyoroti pentingnya langkah-langkah keamanan yang ketat dan proses audit menyeluruh dalam teknologi blockchain. Mengidentifikasi dan menangani kerentanan dengan cepat sangat penting untuk menjaga keamanan dan integritas jaringan mata uang kripto.
Sumber: https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/