تعدادی از کارشناسان امنیتی در ۳۰ مه (۹ خرداد) اعلام کردند که نقصی در بلاکچین ترون باعث میشد ۵۰۰ میلیون دلار ارز دیجیتال به خطر بیفتد. این آسیبپذیری در حال حاضر برطرف شده است و هیچ سرمایهای دیگر در خطر نیست.
به گزارش کریپتواسلیت، تیم تحقیقاتی «0d» در آزمایشگاههای «dWallet» اعلام کرده که یک آسیبپذیری مهم مربوط به حمله روز صفر حسابهای چند امضایی بلاکچین ترون را در معرض خطر قرار داده است.
همان طور که از اسم آن پیدا است، حسابها یا کیف پولهای چند امضایی قبل از انجام هر تراکنشی توسط چند کاربر امضا تأیید میشوند. با این حال، آسیبپذیری موجود در ترون به هر امضا کننده مرتبط با این حسابها اجازه میداد که بهتنهایی به سرمایه آن حساب دسترسی داشته باشند.
این بدان معناست که فرآیند تایید تراکنش در ترون به تایید تمام اطلاعات موردنیاز احتیاجی نداشته است. طبق گفتههای این محققان، اگر هکرها از این مسئله سوءاستفاده و به ترون حمله میکردند، میتوانستند بر امنیت حسابهای چندامضایی آن کاملا غلبه نمایند. یکی از اعضای این تیم اعلام کرده است:
فرآیند تأیید حسابهای چندامضایی [میتوانست] با امضای یک پیام با نانسهای non-deterministic دور زده شود… به زبان ساده، یک امضاکننده میتواند چند امضای معتبر برای یک پیام ایجاد کند.
با این حال، طبق گفتههای محققان راهحل این مشکل بسیار ساده است؛ پس از رفع این نقص امنیتی، امضاها با فهرستی از آدرسها بررسی میشوند، نه فقط فهرستی از امضاها.
تیم تحقیقاتی 0d اعلام کرده که در ۱۹ فوریه (۳۰ بهمن) این مشکل را از طریق برنامه پاداش باگ ترون گزارش داده است. آنها توضیح دادهاند که ترون آسیبپذیری مذکور را تنها طی چند روز اصلاح کرده و اکثر اعتبارسنجهای خود را آپدیت کرده است.
اعضای این تیم در بیانیهای جداگانه در توییتر تأکید کردند که آسیبپذیری مذکور در حال حاضر برطرف شده است و دارایی کاربران دیگر در معرض خطر قرار ندارد. با این حال، ترون هنوز بیانیهای در این زمینه صادر نکرده است.
