Güvenlik firması dWallet Labs, Tron (TRX) ağında 500 milyon dolar pahasında altcoin/tokeni tehlikeye atan güvenlik açığı keşfetti.
“Tespit edildi ve düzeltildi, şu anda risk yok”
dWallet Labs takımı güvenlik açığını birinci olarak Şubat ayında Tron grubuna bildirdi. Bundan sonra sorunun derhal ele alındığı ve birkaç gün içinde çözüldüğü vurgulandı.
Rapora nazaran, Tron multisig hesaplarında bir saldırganın çoklu imza sistemini atlamasına ve süreçleri tek bir imzayla imzalamasına imkan tanıyan bir güvenlik açığı vardı. Araştırma grubu, teknik raporda, güvenlik açığının Tron multisig hesaplarında tutulan 500 milyon dolar kıymetinde altcoin’i etkileyebileceğini söyledi. Bunun nedeni, rastgele bir imzalayanın “TRON tarafından sunulan çoklu imza güvenliğinin büsbütün üstesinden gelmesine” müsaade vermesidir.
https://twitter.com/dWalletLabs/status/1663492997005074433
Adından da anlaşılacağı üzere, çok imzalı cüzdanlar, süreçleri onaylamak ve fonları taşımak için bir hesaba tanımlanan birden çok imzalayıcı gerektirir. Bu da kriptoda ortak hesapların oluşturulmasına müsaade verir. Her imzacının kendi anahtarı vardır. Süreçlerin onaylanması için makul sayıda onay gerekir.
Araştırma takımına nazaran, Tron’un multisig’indeki güvenlik açığı, birçok geçerli imzanın oluşturulmasına müsaade veriyordu. Rapora nazaran, “Aynı bildirisi, tercih ettiğimiz deterministik olmayan nons’larla imzalayarak çoklu imza doğrulama sürecini atlayabiliyordunuz. Bunu yaparak, tıpkı özel anahtarla birebir ileti için birçok geçerli farklı imza oluşturabiliyordunuz.”
Tron’un yanılgısı neydi?
dWallet takımına nazaran Tron, imzalayanların eşsiz olup olmadığını denetim etmek yerine imzaların eşsiz olmasını sağlıyor. Bu nedenle, imzalayanlar potansiyel olarak “çifte oy kullanabilir” yahut iki sefer imzalayabilir. DWallet Labs CEO’su Ömer Sadika, düzeltmenin kolay olduğunu söyledi. “İmza sayısı yerine adresi doğrulamanın” kâfi olduğunu belirtti.
https://twitter.com/omersadika/status/1663493141037473793
Araştırmacılar, güvenlik açığının Şubat ayında Tron’a bildirildiğini ve günler sonra düzeltildiğini kaydetti. Başka yandan, güvenlik açığı konusunda son günlerde Arbitrum ağı öne çıkıyor. Bilhassa Mayıs ayında iki büyük DeFi protokolü yaklaşık 10 milyon doları saldırganlara teslim etti.
Arbitrum ağı iki büyük hack teşebbüsüne şahit oldu
İlki, Jimbos’u maksat alan ve 7,5 milyon dolarlık kayba yol açan likidite operasyonlarındaki eksiklikten kaynaklandı. Arbitrum tabanlı DeFi projesi Jimbos, taarruzun sonucunda sonucunda 4.000 Ether (ETH) kaybetti.
https://twitter.com/peckshield/status/1662650673731624961
En son hack teşebbüsünde Ede Finance, kasıtlı olarak güvenlik açığı bırakması nedeniyle ateş altında. DeFi projesi, bugün yaklaşık yarım milyon doların ele geçirilmesine yol açan hack teşebbüsüne maruz kaldı. Kriptokoin.com olarak aktardığımız üzere, proje grubu yaşananlarda hisse sahibi olduğunu kabul ediyor.
