Výskumný tím v dWallet Labs objavil zero-day zraniteľnosť v účtoch Tron multisig, ktorá umožňuje útočníkovi obísť mechanizmus viacerých podpisov a podpísať transakcie jediným podpisom.
V príspevku o technickom zlyhaní výskumný tím uviedol, že zraniteľnosť mohla mať vplyv na 500 miliónov dolárov v aktívach uložených na účtoch Tron multisig. Je to preto, že umožňuje každému signatárovi „úplne prekonať bezpečnosť viacerých značiek, ktorú ponúka TRON“.
0d, náš superhviezdny výskumný tím v oblasti kybernetickej bezpečnosti, objavil zraniteľnosť v účtoch TRON multisig, ktorá ohrozuje viac ako 500 miliónov dolárov digitálnych aktív – bola zverejnená a opravená, takže teraz nie sú ohrozené žiadne používateľské aktíva.
Technická porucha: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) Môže 30, 2023
Ako už názov napovedá, peňaženky s viacerými podpismi vyžadujú, aby na účte boli definovaní viacerí podpisovatelia, aby mohli schvaľovať transakcie a presúvať finančné prostriedky, čo umožňuje vytváranie spoločných účtov v kryptomenách. Každý podpisovateľ účtu má svoje vlastné kľúče a účet vyžaduje určitú hranicu na schvaľovanie transakcií.
Podľa výskumného tímu zraniteľnosť s multisigom spoločnosti Tron umožňuje generovanie mnohých platných podpisov. Oni napísali:
„Môžeme obísť proces multisig overovania podpísaním rovnakej správy s nedeterministickými nonces podľa nášho výberu. Týmto spôsobom budeme môcť vygenerovať mnoho platných rôznych podpisov pre rovnakú správu pomocou rovnakého súkromného kľúča.“
Podľa tímu pre kybernetickú bezpečnosť Tron zaisťuje, že podpisy sú jedinečné, namiesto toho, aby kontroloval, či sú podpisovatelia jedineční. Z tohto dôvodu môžu signatári potenciálne „dvakrát hlasovať“ alebo podpísať dvakrát. Omer Sadika, generálny riaditeľ spoločnosti dWallet Labs, povedal, že oprava je jednoduchá: overte adresu namiesto počtu podpisov.
Výskumníci poznamenali, že zraniteľnosť bola oznámená Tronu vo februári a opravená niekoľko dní potom.
Súvisiace: Justin Sun sa ospravedlňuje po konflikte Sui LaunchPool s generálnym riaditeľom Binance
Cointelegraph oslovil Trona so žiadosťou o pripomienky, no nedostal odpoveď.
Ďalšou správou je, že ďalší decentralizovaný finančný protokol nedávno utrpel zneužitie vo výške 7.5 milióna dolárov. 28. mája bezpečnostná firma PeckShield pre blockchain oznámila, že protokol Jimbos založený na Arbitrum bol hacknutý, čo malo za následok stratu 4,000 XNUMX éterov (ETH).
Časopis: USA a Čína sa snažia rozdrviť Binance, nárok SBF na úplatok 40 miliónov dolárov
Zdroj: https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team