Výzkumný tým z dWallet Labs objevil zero-day zranitelnost v účtech Tron multisig, která útočníkovi umožňuje obejít mechanismus více podpisů a podepisovat transakce jediným podpisem.
V příspěvku o technickém zhroucení výzkumný tým uvedl, že zranitelnost mohla mít dopad na 500 milionů dolarů v aktivech držených na účtech Tron multisig. Je to proto, že umožňuje každému signatáři „zcela překonat multisig zabezpečení, které nabízí TRON“.
0d, náš superhvězdný výzkumný tým v oblasti kybernetické bezpečnosti, objevil zranitelnost v TRON multisig účtech ohrožujících více než 500 milionů dolarů digitálních aktiv – byla odhalena a opravena, takže nyní nejsou ohrožena žádná uživatelská aktiva.
Technická porucha: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) 30
Jak již název napovídá, peněženky s více podpisy vyžadují, aby na účtu bylo definováno více podepisujících, aby mohli schvalovat transakce a přesouvat finanční prostředky, což umožňuje vytváření společných účtů v kryptoměnách. Každý podepisující účet má své vlastní klíče a účet vyžaduje určitou hranici pro schvalování transakcí.
Podle výzkumného týmu zranitelnost Tron's multisig umožňuje generování mnoha platných podpisů. Oni psali:
„Můžeme obejít proces multisig ověřování tím, že podepíšeme stejnou zprávu s nedeterministickými noncemi podle našeho výběru. Díky tomu budeme schopni vygenerovat mnoho platných různých podpisů pro stejnou zprávu pomocí stejného soukromého klíče.“
Podle týmu pro kybernetickou bezpečnost Tron zajišťuje, že podpisy jsou jedinečné, místo toho, aby kontroloval, zda jsou podepisující jedineční. Z tohoto důvodu mohou signatáři potenciálně „zdvojit hlasování“ nebo podepsat dvakrát. Omer Sadika, generální ředitel dWallet Labs, řekl, že oprava je jednoduchá: místo počtu podpisů ověřte adresu.
Výzkumníci poznamenali, že zranitelnost byla oznámena Tronu v únoru a opravena několik dní poté.
Související: Justin Sun se omlouvá poté, co se Sui LaunchPool střetl s generálním ředitelem Binance
Cointelegraph požádal Trona o komentáře, ale nedostal odpověď.
Další zprávy, další decentralizovaný finanční protokol nedávno utrpěl zneužití 7.5 milionu dolarů. 28. května bezpečnostní firma PeckShield pro blockchain oznámila, že protokol Jimbos založený na Arbitrum byl hacknut, což vedlo ke ztrátě 4,000 XNUMX etherů (ETH).
Magazine: USA a Čína se snaží rozdrtit Binance, nárok SBF na úplatek ve výši 40 milionů dolarů
Zdroj: https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team