TRON Menghindari Kerentanan Multi-Tanda Tangan senilai $500 Juta

Bug telah ditambal dan tidak ada aset pengguna yang berisiko.

Peneliti keamanan mengungkapkan kerentanan dalam blockchain TRON pada 30 Mei yang sebelumnya menempatkan $500 juta dalam risiko cryptocurrency.

Penanda tangan mungkin telah mengakses akun multi-tanda tangan

Kerentanan zero-day kritis dalam blockchain TRON membuat akun multi-tanda tangan rentan terhadap pencurian, menurut tim riset 0d di dWallet Labs.

Seperti namanya, akun multi-tanda tangan harus melalui beberapa tanda tangan sebelum transaksi dapat dilakukan. Namun, kerentanan yang ditemukan di TRON akan memungkinkan setiap penanda tangan yang terkait dengan akun multisig mana pun untuk mengakses dana secara individual di akun tersebut.

Kelalaian TRON dengan pendekatan multi-tanda tangannya berarti proses verifikasinya tidak memverifikasi semua informasi yang diperlukan. Menurut para peneliti 0d, jenis serangan ini akan “sepenuhnya mengatasi” keamanan multi-tanda tangan TRON.

Anggota tim Omer Sadika menulis:

“…proses verifikasi multi-tanda tangan dapat dielakkan dengan menandatangani pesan yang sama menggunakan nomor acak non-deterministik…Singkatnya, satu penanda tangan dapat membuat beberapa tanda tangan yang valid untuk pesan yang sama.”

Menurut para peneliti, solusi untuk masalah ini sederhana. Tanda tangan sekarang diperiksa berdasarkan daftar alamat, bukan hanya daftar tanda tangan.

Kerentanan dilaporkan pada bulan Februari

Tim peneliti ke-0 mengatakan bahwa mereka melaporkan masalah ini melalui program bug bounty TRON pada 19 Februari. Tim menambahkan bahwa TRON telah menambal kerentanan dalam beberapa hari, dan mereka menyatakan bahwa sebagian besar validator TRON sekarang telah ditambal.

Dalam pernyataan Twitter terpisah, para peneliti menekankan bahwa “tidak ada aset pengguna yang berisiko” karena kerentanan telah diperbaiki.

TRON belum mengeluarkan pernyataan publiknya sendiri.