Foto: Shutterstock/Stanslavs
In 2019 onthulde de Tron Foundation de ondersteuning voor multisig-functionaliteit voor de Tron (TRX) blockchain. Maar helaas zat hier een beveiligingskwetsbaarheid in waardoor de functie praktisch nutteloos was. Gelukkig is deze nu opgelost.
- Advertentie
- Bitvavo
Beveiliging tegen hackers
Multisig houdt in dat meerdere personen een transactie moeten goedkeuren voordat deze kan worden verstuurd. Dat is bijvoorbeeld belangrijk voor grote organisaties die niet zomaar geld kunnen versturen, zoals crypto exchanges. Meerdere mensen zijn dus eigenaar van zo’n wallet.
Het kan voorkomen dat er geld gestolen wordt, bijvoorbeeld als een werknemer met het geld ervandoor gaat. Dat overkwam het Nederlandse Litebit bijvoorbeeld. Het kan ook voorkomen dat hackers van buitenaf coins weg kunnen sluizen. Met name vorig jaar was dit ook geen uitzonderingssituatie, in 2022 stalen hackers namelijk een recordbedrag aan crypto.
Kwetsbaarheid in Tron-wallets al verholpen
Maar het blijkt dat de functie op de Tron-blockchain niet zo goed in elkaar stak. Beveiligingsonderzoekers van dWallet Labs waren in staat om de functie te omzeilen door willekeurige digitale handtekeningen te maken, waarmee de functie kon worden omzeild.
Hierdoor was de toegang tot slechts één private key genoeg om transacties uit een multisig-wallet mogelijk te maken. Een tweede soort hack stelde de aanvaller in staat om zelfs zonder enige private key toegang tot de wallet te krijgen. Volgens de onderzoekers berustte het mechanisme op controles of de handtekeningen niet hetzelfde zijn, in plaats van controles voor of de ondertekenaars niet één en dezelfde persoon zijn.
Gelukkig is er ook al een oplossing bedacht. Goedaardige hackers stellen doorgaans het bedrijf of organisatie vlak na de ontdekking hiervan op de hoogte, waarna het de tijd krijgt om een oplossing te bedenken. In dit geval is de kwetsbaarheid al in februari ontdekt, en nu is deze onthuld.
De oplossing is ook al geïmplementeerd. Dat was simpelweg een kwestie van controleren welke adressen de transactie willen bevestigen, in plaats van alleen het controleren van de handtekeningen. Er zou zo’n 500 miljoen dollar in dit soort wallets op Tron zitten, die zijn nu automatisch goed beveiligd.
