dWallet Labsin tutkimusryhmä on havainnut Tron multisig -tileissä nollapäivän haavoittuvuuden, jonka avulla hyökkääjä voi ohittaa moniallekirjoitusmekanismin ja allekirjoittaa tapahtumat yhdellä allekirjoituksella.
Teknisessä tiedotteessa tutkimusryhmä sanoi, että haavoittuvuus olisi voinut vaikuttaa 500 miljoonan dollarin omaisuuteen Tron multisig -tileillä. Tämä johtuu siitä, että sen avulla jokainen allekirjoittaja voi "voittaa täysin TRONin tarjoaman multisig-suojauksen".
0d, huipputähti kyberturvallisuuden tutkimustiimimme, löysi haavoittuvuuden TRON multisig -tileistä, mikä vaarantaa yli 500 miljoonan dollarin digitaalisen omaisuuden – se paljastettiin ja korjattiin, joten käyttäjien omaisuutta ei ole nyt vaarassa.
Tekninen vika: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) Voi 30, 2023
Kuten nimestä voi päätellä, usean allekirjoituksen lompakot vaativat tilille määritettyjä useita allekirjoittajia hyväksymään tapahtumia ja siirtämään varoja, mikä mahdollistaa yhteisten tilien luomisen kryptomuodossa. Jokaisella tilin allekirjoittajalla on omat avaimensa ja tili vaatii tietyn kynnyksen tapahtumien hyväksymiselle.
Tutkimusryhmän mukaan Tronin multisigin haavoittuvuus mahdollistaa useiden kelvollisten allekirjoitusten luomisen. He kirjoittivat:
"Voimme ohittaa multisig-varmennusprosessin allekirjoittamalla saman viestin valitsemillamme ei-deterministisilla ei-lauseilla. Näin toimimalla voimme luoda useita kelvollisia erilaisia allekirjoituksia samalle viestille samalla yksityisellä avaimella."
Kyberturvatiimin mukaan Tron varmistaa, että allekirjoitukset ovat yksilöllisiä, sen sijaan, että tarkistaisi, ovatko allekirjoittajat yksilöllisiä. Tämän vuoksi allekirjoittajat voivat mahdollisesti "kaksin äänestää" tai allekirjoittaa kahdesti. Omer Sadika, dWallet Labsin toimitusjohtaja, sanoi, että korjaus oli yksinkertainen: tarkista osoite allekirjoitusten määrän sijaan.
Tutkijat huomauttivat, että haavoittuvuudesta ilmoitettiin Tronille helmikuussa ja korjattiin päiviä sen jälkeen.
Related: Justin Sun pyytää anteeksi Sui LaunchPoolin ja Binancen toimitusjohtajan törmäyksen jälkeen
Cointelegraph pyysi Tronilta kommentteja, mutta ei saanut vastausta.
Muissa uutisissa, toinen hajautettu rahoitusprotokolla kärsi äskettäin 7.5 miljoonan dollarin hyväksikäytöstä. 28. toukokuuta blockchain-turvayritys PeckShield ilmoitti, että Arbitrum-pohjainen Jimbos Protocol oli hakkeroitu, mikä johti 4,000 XNUMX eetterin (ETH) menetykseen.
Magazine: Yhdysvallat ja Kiina yrittävät murskata Binancen, SBF:n 40 miljoonan dollarin lahjusvaatimuksen
Lähde: https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team