Yn ddiweddar, mae ymchwilwyr diogelwch wedi datgelu gwendid sero-diwrnod hanfodol yn y blockchain TRON a allai o bosibl amlygu gwerth $500 miliwn o arian cyfred digidol i ladrad.
Roedd y bregusrwydd, a ddarganfuwyd gan dîm ymchwil 0d yn labordai dWallet, yn targedu cyfrifon multisig yn benodol ar y blockchain TRON.
Mae cyfrifon multisig angen llofnodion lluosog i awdurdodi trafodiad. Fodd bynnag, roedd y diffyg yn ymagwedd TRON at multisig yn caniatáu i unrhyw arwyddwr sy'n gysylltiedig â chyfrif multisig penodol gael mynediad i'r arian o fewn y cyfrif hwnnw yn annibynnol, heb fod angen cymeradwyaeth llofnodwyr eraill.
Galluogodd yr oruchwyliaeth hon ym mhroses ddilysu TRON i'r ymosodiad osgoi diogelwch multisig y blockchain yn gyfan gwbl.
Eglurodd Omer Sadika, aelod o dîm ymchwil 0d:
“Gallai’r broses ddilysu amlsig fod wedi cael ei hosgoi trwy lofnodi’r un neges â geiriau anbenderfynol… Yn syml, gall un llofnodwr greu llofnodion dilys lluosog ar gyfer yr un neges.”
Roedd yr ateb i'r bregusrwydd critigol hwn yn gymharol syml, gan fod llofnodion bellach yn cael eu gwirio yn erbyn rhestr o gyfeiriadau yn hytrach na dibynnu ar restr o lofnodion yn unig.
Ymateb cyflym TRON i ddiffyg diogelwch aml-sig
Adroddodd tîm ymchwil 0d yn brydlon am y bregusrwydd trwy raglen byg bounty TRON ar Chwefror 19. Clytiwyd y bregusrwydd yn gyflym gan TRON o fewn dyddiau, a chadarnhaodd yr ymchwilwyr fod y rhan fwyaf o ddilyswyr TRON wedi gweithredu'r darnau angenrheidiol.
Mewn datganiad ar wahân ar Twitter, pwysleisiodd yr ymchwilwyr nad oes unrhyw asedau defnyddwyr mewn perygl ar hyn o bryd ers i'r bregusrwydd gael ei ddatrys yn llwyddiannus.
Hyd yn hyn, nid yw TRON wedi cyhoeddi ei ddatganiad cyhoeddus ynghylch y digwyddiad.
Gwendidau mwy diweddar
Mae'r datblygiad diweddaraf yn cyd-fynd â darganfod bregusrwydd preifatrwydd sylweddol o fewn blockchain Monero. Yn nodedig, arhosodd byg Monero heb ei ganfod ar y rhwydwaith am dros dair blynedd cyn iddo gael ei nodi a'i ddatrys yn brydlon.
Mewn ergyd arall eto i’r sector DeFi, dioddefodd Protocol Jimbos, a adeiladwyd ar rwydwaith Arbitrum, ecsbloetiaeth ddifrifol gan arwain at golli 4,000 Ether, sy’n cyfateb i tua $ 7.5 miliwn.
Mae'r datblygiadau diweddar yn tynnu sylw at bwysigrwydd mesurau diogelwch trwyadl a phrosesau archwilio trylwyr mewn technolegau blockchain. Mae nodi a mynd i'r afael â gwendidau yn gyflym yn hanfodol i gynnal diogelwch a chywirdeb rhwydweithiau arian cyfred digidol.
Ffynhonnell: https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/