Peneliti keamanan mengungkapkan kerentanan dalam blockchain TRON pada 30 Mei yang sebelumnya menempatkan $500 juta kripto dalam risiko.
Seorang penanda tangan dapat mengakses akun mulitisig
Tim peneliti 0d di lab dWallet mengatakan bahwa kerentanan kritis zero-day di blockchain TRON membuat akun multisig terbuka untuk pencurian.
Akun multi-sig harus ditandatangani oleh beberapa tanda tangan sebelum melakukan transaksi, seperti namanya. Namun, kerentanan yang ditemukan di TRON akan memungkinkan setiap penanda tangan yang terkait dengan akun multisig mana pun untuk mengakses dana di dalam akun itu sendirian.
Kekeliruan dalam pendekatan TRON terhadap multisig berarti bahwa proses verifikasinya tidak memverifikasi semua informasi yang diperlukan. Garis serangan ini akan "sepenuhnya mengatasi" keamanan multisig TRON, menurut peneliti 0d.
Anggota tim Omer Sadika menulis:
”… Proses verifikasi multitanda [dapat] dilewati dengan menandatangani pesan yang sama dengan non-deterministik nonces…Sederhananya, satu penanda tangan dapat membuat beberapa tanda tangan yang valid untuk pesan yang sama.”
Solusi untuk masalah ini sederhana, menurut para peneliti. Tanda tangan sekarang diperiksa berdasarkan daftar alamat, bukan hanya daftar tanda tangan.
Kerentanan dilaporkan pada bulan Februari
Tim peneliti ke-0 mengatakan bahwa mereka melaporkan masalah tersebut melalui program hadiah bug TRON pada 19 Februari. Tim menambahkan bahwa TRON menambal kerentanan dalam beberapa hari, dan mereka mengatakan bahwa sebagian besar validator TRON sekarang telah ditambal.
Para peneliti menekankan dalam pernyataan Twitter terpisah bahwa “tidak ada aset pengguna yang berisiko” sekarang karena kerentanan telah diperbaiki.
TRON belum mengeluarkan pernyataan publiknya sendiri.
Pos TRON menghindari kerentanan multisig $500 juta muncul pertama kali di CryptoSlate.
Sumber: https://cryptoslate.com/tron-avoided-500m-multisig-vulnerability/