Разработчики Tron исправили уязвимость доступа к активам на $500 млн

Специалисты по кибербезопасности команды 0d сообщили, что в системе мультиподписей сети Tron была обнаружена критическая уязвимость. Под угрозой оказались активы на полмиллиарда долларов, но уязвимость оперативно закрыли.

Команда 0d работает в составе компании dWallet Labs. Специалисты 0d утверждают, что уязвимость в Tron позволяла владельцу части подписи получить неограниченный доступ к защищенному мультиподписью кошельку и всем хранящимся там активам. 

Команда 0d еще в феврале сообщила об уязвимости разработчикам Tron через проект HackerOne, и проблема была исправлена через несколько дней.

Представитель Tron подтвердил, что разработчики получили отчет проекта HackerOne и «максимально быстро исправили проблему, применив необходимые патчи, так что уязвимость не могла и не может быть использована». Сумма вознаграждения, выплаченная специалистам по кибербезопасности, не сообщается.

Как рассказал сооснователь компании Odsy Network Омер Садика (Omer Sadika), ошибка была достаточно тривиальной и исправить ее было весьма просто:

«При проверке мультиподписи в сети Tron проверялось, что данная подпись уже подсчитана, и предполагалось: две разные подписи для одной транзакции не могли быть созданы одним и тем же человеком. Для устранения уязвимости потребовалось сверять не подпись со списком подписей, а адрес подписанта со списком адресов».

В 2019 году разработчики Tron исправили уязвимость, которая позволяла обрушить всю сеть с одного единственного компьютера.

Источник