仮想通貨(暗号資産)のセキュリティリサーチ企業「0d」によると、仮想通貨のトロン(Tron)が提供する複数の署名人を必要とする「マルチシグネチャーウォレット(Multi-Signature Wallets)」に致命的なゼロデイ脆弱性(Zero-day vulnerability)が2023年2月19日に発見されていたことを公表した。問題となるゼロデイ脆弱性はすでに修正されているという。
関連記事:【墨汁速報】SECトロンのジャスティン・サン氏を「TRXの価格操作と未登録証券」などの疑いで起訴
トロン(TRX)に致命的なゼロデイ脆弱性が発覚
仮想通貨(暗号資産)のトロン(Tron=TRX)とはプルーフ・オブ・ステークを採用したブロックチェーンで、2017年9月に中国人投資家のジャスティン・サン(Justin Sun)氏によって設立されてイーサリアム上でICOを行い、2018年にトロンネットワークをローンチしたことで知られている。
セキュリティリサーチ企業「0d」が公開した内容によると、トロンの提供するマルチシグネチャウォレットに致命的なゼロデイ脆弱性が見つかり、TRXを含むトロン上の仮想通貨約700億円相当がリスクにさらされていたという。マルチシグネチャウォレットとは「出金やDeFi、NFTなどのコントラクト実行を行う際に2つ以上の決められた秘密鍵によって署名しなければいけないウォレット」のことを指す。
0dによるとマルチシグネチャアカウントに対する署名者はたとえ2つ以上の署名が必要であったとしても関係なくアカウント内の資産をコントロールすることができたという。マルチシグネチャは例えば5つの秘密鍵を異なる人物や団体などが各々保管し、そのうち3人が署名しなければ仮想通貨を出金できないようにする”セキュリティの機能”であり、悪意を持って署名をすればアカウント内の仮想通貨を盗むことができたということだ。
速報:トロン(Tron)に致命的なゼロデイ脆弱性が2月に発覚、マルチシグアカウントのどの署名者でも必要閾値に関わらずコントロールを得ることができたという。約5億ドル(約700億円)の仮想通貨がリスクにあったが現在は修正済みと公表#TRON $TRX #暗号資産 #DeFi #NFT https://t.co/AWzsjhw3kI
— 墨汁うまい(Bokujyuumai)🛸 (@bokujyuumai) May 31, 2023
関連記事:【墨汁速報】仮想通貨最大手バイナンス 金融法に反して顧客資産流用か?=リーク
トロンは発覚から数日以内に脆弱性修正
0dの発表によるとトロンのバグバウンティプログラムからこの致命的な脆弱性を2023年2月19日に報告、トロンはこの脆弱性を知ったことで即座に行動を起こし、数日以内に修正パッチを公開したという。また大半のトロンバリデータは既にパッチを当てて脆弱性に対策しており、脆弱性を利用した仮想通貨の盗難は起きないとしている。0dは「重大な脆弱性に対する発見」の報酬を受け取ったという。
今回のトロンの致命的な脆弱性の理由として「マルチシグネチャの必要とされている閾値を集計される前に既に署名が集計されていた」としており、修正は簡単で署名リストを確認するのではなく、アドレスのリストを確認するように変更するだけだったと0dは述べている。
関連記事:【墨汁速報】イーサリアム(ETH)で一時ネットワーク障害 開発者が現在原因を調査中
▼墨汁サロンでは投資家向けに知られていないDeFiやNFTのセキュリティ対策、イーサリアム2.0の仕組みや技術、マージ対応の32ETHステーキングのやり方の解説や検証、テクニカル分析理論、ファンダメンタルなどをより深く解説しています。