分散型アプリ(dApps)プラットフォーム「トロン(TRX)」を展開しているトロン財団が、TRXブロックチェーンをクラッシュさせる可能性があった脆弱性の修正済み情報を開示した。この脆弱性を発見し開示した研究者は、1500ドル(約16万6000円)の報奨金が与えられた。脆弱性開示・管理プラットフォーム「ハッカーワン(HackerOne)」において、同財団が5月2日に明らかにした。
ハッカーワンは、脆弱性開示・管理およびバグ報奨金サービス(バグバウンティプログラム)を提供する国際的プラットフォーム。同社によると、サイバーセキュリティ研究者およびハッカーと、米国防総省・欧州委員会などの公的機関、アドビシステムズやグーグル、任天堂といった企業など1200社以上の顧客を結び付けているという。
今回修正された脆弱性は、攻撃者の悪意のある要求に従い、スマートコントラクトの脆弱性を利用することで、利用可能なメモリーをすべていっぱいにし、TRXネットワーク上で分散サービス妨害(DDoS攻撃)を可能にするというもの。開示情報では、次のように説明されている。
「攻撃者は、1台のコンピュータを使用し、ネットワークの所有権や有効性を決定できるSR(Super Representative)ノードの全部または51%にDDoS攻撃を送信することで、TRXネットワークを使用不能に、または、アクセスできない状態にできる」
この脆弱性を発見し開示したサイバーセキュリティ研究者は、1500ドル(約16万6000円)の報奨金が与えられた。またこの脆弱性は、2019年1月14日の初報告後にすぐに修正され、5月2日に公開された。
翻訳・編集 コインテレグラフ日本版