【墨汁速報】約700億円の仮想通貨がリスク下に トロン(TRX)が致命的脆弱性の修正を公開

仮想通貨(暗号資産)のセキュリティリサーチ企業「0d」によると、仮想通貨のトロン(Tron)が提供する複数の署名人を必要とする「マルチシグネチャーウォレット(Multi-Signature Wallets)」に致命的なゼロデイ脆弱性(Zero-day vulnerability)が2023年2月19日に発見されていたことを公表した。問題となるゼロデイ脆弱性はすでに修正されているという。

関連記事:【墨汁速報】SECトロンのジャスティン・サン氏を「TRXの価格操作と未登録証券」などの疑いで起訴

トロン(TRX)に致命的なゼロデイ脆弱性が発覚

仮想通貨(暗号資産)のトロン(Tron=TRX)とはプルーフ・オブ・ステークを採用したブロックチェーンで、2017年9月に中国人投資家のジャスティン・サン(Justin Sun)氏によって設立されてイーサリアム上でICOを行い、2018年にトロンネットワークをローンチしたことで知られている。

セキュリティリサーチ企業「0d」が公開した内容によると、トロンの提供するマルチシグネチャウォレットに致命的なゼロデイ脆弱性が見つかり、TRXを含むトロン上の仮想通貨約700億円相当がリスクにさらされていたという。マルチシグネチャウォレットとは「出金やDeFi、NFTなどのコントラクト実行を行う際に2つ以上の決められた秘密鍵によって署名しなければいけないウォレット」のことを指す。

0dによるとマルチシグネチャアカウントに対する署名者はたとえ2つ以上の署名が必要であったとしても関係なくアカウント内の資産をコントロールすることができたという。マルチシグネチャは例えば5つの秘密鍵を異なる人物や団体などが各々保管し、そのうち3人が署名しなければ仮想通貨を出金できないようにする”セキュリティの機能”であり、悪意を持って署名をすればアカウント内の仮想通貨を盗むことができたということだ。

関連記事:【墨汁速報】仮想通貨最大手バイナンス 金融法に反して顧客資産流用か?=リーク

トロンは発覚から数日以内に脆弱性修正

0dの発表によるとトロンのバグバウンティプログラムからこの致命的な脆弱性を2023年2月19日に報告、トロンはこの脆弱性を知ったことで即座に行動を起こし、数日以内に修正パッチを公開したという。また大半のトロンバリデータは既にパッチを当てて脆弱性に対策しており、脆弱性を利用した仮想通貨の盗難は起きないとしている。0dは「重大な脆弱性に対する発見」の報酬を受け取ったという。

今回のトロンの致命的な脆弱性の理由として「マルチシグネチャの必要とされている閾値を集計される前に既に署名が集計されていた」としており、修正は簡単で署名リストを確認するのではなく、アドレスのリストを確認するように変更するだけだったと0dは述べている。

関連記事:【墨汁速報】イーサリアム(ETH)で一時ネットワーク障害 開発者が現在原因を調査中

▼墨汁サロンでは投資家向けに知られていないDeFiやNFTのセキュリティ対策、イーサリアム2.0の仕組みや技術、マージ対応の32ETHステーキングのやり方の解説や検証、テクニカル分析理論、ファンダメンタルなどをより深く解説しています。

墨汁バナー

墨汁うまいと学ぶ仮想通貨の世界

おすすめの記事
【墨汁速報】Fantom(FTM)やYearn(YFI)の創設者Andre氏 DeFiや仮想通貨の開発から離れることを発表
仮想通貨ニュース
【墨汁速報】Fantom(FTM)やYearn(YFI)の創設者Andre氏 DeFiや仮想通貨の開発から離れることを発表
イーサリアムで莫大な人気を誇るDeFiのアグリゲーターYearn Finance(YFI)や、DAGベースのイーサリアムEVMを実装したFantom(FTM)で有名なAndre Cronje氏がDeFiや仮想通貨の開発を離れることを発表。このAndre氏の発表を受けてYFIは最大で約13%、FTMは約7%の下落となっている。