На сайте HackerOne они сообщили, что уязвимость была «высокого уровня» и угрожала стабильности всей сети.
В публикации говорится, что злоумышленники могли неконтролируемо расходовать вычислительные ресурсы сети с помощью DDoS-атак. «Используя один компьютер, хакер мог направить DDoS-атаку на все или 51% узлов супер-представителей, из-за чего использование сети Tron стало бы невозможным», - пишут представители TRON Foundation в отчёте.
Для использования уязвимости злоумышленнику необходимо было вызывать срабатывание функций смарт-контрактов при помощи вредоносного байт-кода, понимаемого виртуальной машиной TRON.
Изначально danish1970 сообщил о проблеме 14 января, за что 1 февраля ему выплатили награду в размере $1 500. TRON Foundation официально раскрыла информацию по поводу уже исправленной уязвимости 5 дней назад, а также перевела исследователю проблем кибербезопасности еще $3 100 за обнаружение уже другой проблемы, не предоставив никакой более подробной информации по этому поводу.
Всего программа по отлову багов существует уже 10 месяцев, за которые TRON Foundation выплатила экспертам HackerOne $78 800. В общей сложности они нашли 15 уязвимостей, 12 из которых числятся с пометкой «исправлено». Самая большая награда на данный момент составляет $10 000.
В прошлом году независимые эксперты по кибербезопасности в общей сложности заработали $878 000, предоставляя разработчикам различных блокчейн-проектов информацию об уязвимостях в их коде. Причем более половины от этой суммы заплатила компания Block.one, которая работает над проектом EOS.
