Tietoturvatutkijat paljastivat TRON-lohkoketjun haavoittuvuuden 30. toukokuuta, mikä vaaransi aiemmin 500 miljoonan dollarin krypton.
Yksi allekirjoittaja olisi voinut käyttää multitisig-tilejä
dWallet Labsin 0d-tutkimusryhmä sanoi, että TRON-lohkoketjun kriittinen nollapäivän haavoittuvuus jätti multisig-tilit avoimeksi varkauksille.
Multi-sig-tilit on allekirjoitettava useilla allekirjoituksilla ennen kuin ne suorittavat tapahtuman, kuten nimestä voi päätellä. TRON:n haavoittuvuus olisi kuitenkin mahdollistanut minkä tahansa multisig-tilin allekirjoittajan pääsyn tilin varoihin yksin.
TRON:n multisig-lähestymistavan laiminlyönnit tarkoittivat, että sen varmennusprosessi ei tarkistanut kaikkia tarvittavia tietoja. Tämä hyökkäyslinja olisi "täysin voittanut" TRONin multisig-suojauksen 0d-tutkijoiden mukaan.
Joukkueen jäsen Omer Sadika kirjoitti:
”… Multisig-vahvistusprosessi [olisi voitu] ohittaa allekirjoittamalla sama viesti epädeterministisillä poikkeuksilla… Yksinkertaisesti sanottuna yksi allekirjoittaja voi luoda useita kelvollisia allekirjoituksia samalle viestille.”
Ratkaisu tähän ongelmaan oli tutkijoiden mukaan yksinkertainen. Allekirjoituksia verrataan nyt osoiteluetteloon, ei vain allekirjoitusluetteloon.
Haavoittuvuudesta ilmoitettiin helmikuussa
0d-tutkimusryhmä kertoi raportoineensa ongelmasta TRONin bugipalkkioohjelman kautta 19. helmikuuta. Ryhmä lisäsi, että TRON korjasi haavoittuvuuden päivissä, ja he sanoivat, että useimmat TRON-validaattorit on nyt korjattu.
Tutkijat korostivat erillisessä Twitter-lausunnossa, että "käyttäjien omaisuutta ei ole vaarassa" nyt, kun haavoittuvuus on korjattu.
TRON ei ole vielä antanut omaa julkista lausuntoaan.
Viesti TRON vältti 500 miljoonan dollarin multisig-haavoittuvuuden ilmestyi ensimmäisenä CryptoSlatessa.
Lähde: https://cryptoslate.com/tron-avoided-500m-multisig-vulnerability/