dWallet Labsi uurimisrühm avastas Tron multisig kontodel nullpäeva haavatavuse, mis võimaldab ründajal mitme allkirja mehhanismist mööda minna ja tehinguid ühe allkirjaga allkirjastada.
Tehnilise rikke postituses ütles uurimisrühm, et haavatavus võis mõjutada 500 miljoni dollari väärtuses Tron multisigi kontodel hoitavaid varasid. Seda seetõttu, et see võimaldab igal allkirjastajal "täielikult ületada TRONi pakutav multisig-turvalisus".
0d, meie superstaari küberturvalisuse uurimisrühm, avastas TRON multisig kontodel haavatavuse, mis seab ohtu üle 500 miljoni dollari väärtuses digitaalseid varasid – see avalikustati ja parandati, nii et praegu pole ohus ühtegi kasutajavara.
Tehniline rike: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) Võib 30 2023
Nagu nimigi ütleb, nõuavad mitme allkirjaga rahakotid tehingute kinnitamiseks ja raha teisaldamiseks mitut kontol määratletud allkirjastajat, mis võimaldab luua ühiseid kontosid krüptovormingus. Igal konto allkirjastajal on oma võtmed ja kontol on tehingute kinnitamiseks vaja teatud läve.
Uurimisrühma sõnul võimaldab Troni multisigi haavatavus genereerida palju kehtivaid allkirju. Nad kirjutasid:
„Saame multisig-verifitseerimisprotsessist mööda minna, allkirjastades sama sõnumi enda valitud mittedeterministlike rikkumistega. Seda tehes saame sama privaatvõtmega sama sõnumi jaoks genereerida palju kehtivaid erinevaid allkirju.
Küberjulgeoleku meeskonna sõnul tagab Tron allkirjade kordumatuse, selle asemel et kontrollida, kas allkirjastajad on kordumatud. Seetõttu saavad allkirjastajad potentsiaalselt "topelthääletada" või allkirjastada kaks korda. dWallet Labsi tegevjuht Omer Sadika ütles, et lahendus oli lihtne: allkirjade arvu asemel kontrollige aadressi.
Teadlased märkisid, et haavatavusest teatati Tronile veebruaris ja see fikseeriti päevi hiljem.
Seotud: Justin Sun vabandab pärast Sui LaunchPooli kokkupõrget Binance'i tegevjuhiga
Cointelegraph pöördus kommentaaride saamiseks Troni poole, kuid ei saanud vastust.
Teiste uudiste kohaselt kasutati teist detsentraliseeritud finantsprotokolli hiljuti 7.5 miljonit dollarit. 28. mail teatas plokiahela turvafirma PeckShield, et Arbitumil põhinevat Jimbos Protocoli häkiti, mille tulemusena kaotati 4,000 eetrit (ETH).
Ajakiri: USA ja Hiina üritavad purustada Binance'i, SBF-i 40 miljoni dollari suuruse altkäemaksunõude
Allikas: https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team