Turvateadlased avalikustasid 30. mail haavatavuse TRON plokiahelas, mis varem seadis ohtu 500 miljoni dollari väärtuses krüptovarasid.
Üks allkirjastaja oleks võinud pääseda juurde mulitisig kontodele
dWalleti labori 0d uurimisrühm ütles, et kriitiline nullpäeva haavatavus TRON-plokiahelas jättis multisigi kontod vargustele avatuks.
Multi-sig kontod peavad olema allkirjastatud mitme allkirjaga enne tehingu sooritamist, nagu nimigi ütleb. TRON-is leitud haavatavus oleks aga võimaldanud igal multisig-kontoga seotud allkirjastajal sellel kontol olevatele rahalistele vahenditele üksi juurde pääseda.
TRON-i lähenemises multisigile tehtud tähelepanuta jätmine tähendas, et selle kontrollimisprotsess ei kontrollinud kogu vajalikku teavet. 0d teadlaste sõnul oleks see ründeliin TRONi multisig-turvalisusest täielikult üle saanud.
Meeskonna liige Omer Sadika kirjutas:
”… Mitmesigilise kontrollimise protsessist [võiks] mööda minna, allkirjastades sama sõnumi mittedeterministlike rikkumistega... Lihtsamalt öeldes saab üks allkirjastaja luua samale kirjale mitu kehtivat allkirja.”
Selle probleemi lahendus oli teadlaste sõnul lihtne. Allkirju võrreldakse nüüd aadresside loendiga, mitte ainult allkirjade loendiga.
Veebruaris teatati haavatavusest
0d uurimisrühm teatas, et nad teatasid probleemist TRON-i veahaldusprogrammi kaudu 19. veebruaril. Meeskond lisas, et TRON parandas haavatavuse päevadega ja nad ütlesid, et enamik TRON-i valideerijaid on nüüd paigatud.
Teadlased rõhutasid Twitteri eraldi avalduses, et nüüd, kui haavatavus on parandatud, "ei ole ohus ühtegi kasutajavara".
TRON ei ole veel oma avalikku avaldust teinud.
Postitus TRON vältis 500 miljoni dollari suurust multisig-i haavatavust ilmus kõigepealt CryptoSlate'is.
Allikas: https://cryptoslate.com/tron-avoided-500m-multisig-vulnerability/