Uyarı Yayınlandı: Bu Altcoin Güvenlik Açığı İçeriyor!

Güvenlik firması dWallet Labs, Tron (TRX) ağında 500 milyon dolar pahasında altcoin/tokeni tehlikeye atan güvenlik açığı keşfetti.

“Tespit edildi ve düzeltildi, şu anda risk yok”

dWallet Labs takımı güvenlik açığını birinci olarak Şubat ayında Tron takımına bildirdi. Bundan sonra sorunun derhal ele alındığı ve birkaç gün içinde çözüldüğü vurgulandı.

Rapora nazaran, Tron multisig hesaplarında bir saldırganın çoklu imza sistemini atlamasına ve süreçleri tek bir imzayla imzalamasına imkan tanıyan bir güvenlik açığı vardı. Araştırma grubu, teknik raporda, güvenlik açığının Tron multisig hesaplarında tutulan 500 milyon dolar kıymetinde altcoin’i etkileyebileceğini söyledi. Bunun nedeni, rastgele bir imzalayanın “TRON tarafından sunulan çoklu imza güvenliğinin büsbütün üstesinden gelmesine” müsaade vermesidir.

Adından da anlaşılacağı üzere, çok imzalı cüzdanlar, süreçleri onaylamak ve fonları taşımak için bir hesaba tanımlanan birden çok imzalayıcı gerektirir. Bu da kriptoda ortak hesapların oluşturulmasına müsaade verir. Her imzacının kendi anahtarı vardır. Süreçlerin onaylanması için muhakkak sayıda onay gerekir.

Araştırma grubuna nazaran, Tron’un multisig’indeki güvenlik açığı, birçok geçerli imzanın oluşturulmasına müsaade veriyordu. Rapora nazaran, “Aynı iletisi, tercih ettiğimiz deterministik olmayan nons’larla imzalayarak çoklu imza doğrulama sürecini atlayabiliyordunuz. Bunu yaparak, tıpkı özel anahtarla birebir bildiri için birçok geçerli farklı imza oluşturabiliyordunuz.”

Tron’un yanlışı neydi?

dWallet takımına nazaran Tron, imzalayanların eşsiz olup olmadığını denetim etmek yerine imzaların eşsiz olmasını sağlıyor. Bu nedenle, imzalayanlar potansiyel olarak “çifte oy kullanabilir” yahut iki sefer imzalayabilir. DWallet Labs CEO’su Ömer Sadika, düzeltmenin kolay olduğunu söyledi. “İmza sayısı yerine adresi doğrulamanın” kâfi olduğunu belirtti.

Araştırmacılar, güvenlik açığının Şubat ayında Tron’a bildirildiğini ve günler sonra düzeltildiğini kaydetti. Öteki yandan, güvenlik açığı konusunda son günlerde Arbitrum ağı öne çıkıyor. Bilhassa Mayıs ayında iki büyük DeFi protokolü yaklaşık 10 milyon doları saldırganlara teslim etti.

Arbitrum ağı iki büyük hack teşebbüsüne şahit oldu

İlki, Jimbos’u maksat alan ve 7,5 milyon dolarlık kayba yol açan likidite operasyonlarındaki eksiklikten kaynaklandı. Arbitrum tabanlı DeFi projesi Jimbos, atağın sonucunda sonucunda 4.000 Ether (ETH) kaybetti.

En son hack teşebbüsünde Ede Finance, kasıtlı olarak güvenlik açığı bırakması nedeniyle ateş altında. DeFi projesi, bugün yaklaşık yarım milyon doların ele geçirilmesine yol açan hack teşebbüsüne maruz kaldı. Kriptokoin.com olarak aktardığımız üzere, proje takımı yaşananlarda hisse sahibi olduğunu kabul ediyor.