Istraživački tim u dWallet Labs-u otkrio je ranjivost nultog dana u Tron multisig računima, omogućavajući napadaču da zaobiđe mehanizam više potpisa i potpiše transakcije jednim potpisom.
U tehničkoj objavi, istraživački tim je rekao da je ranjivost mogla uticati na 500 miliona dolara imovine koja se nalazi na Tron multisig računima. To je zato što omogućava svakom potpisniku da "potpuno prevaziđe multi-sig sigurnost koju nudi TRON".
0d, naš istraživački tim za kibernetičku sigurnost, otkrio je ranjivost na TRON multisig računima koja dovodi u opasnost preko 500 miliona dolara digitalne imovine – otkrivena je i popravljena tako da sada nema ugroženih sredstava korisnika.
Tehnički kvar: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) Može 30, 2023
Kao što mu ime sugerira, novčanici s više potpisa zahtijevaju više potpisnika definiranih na računu za odobravanje transakcija i premještanje sredstava, omogućavajući stvaranje zajedničkih računa u kripto. Svaki potpisnik računa ima svoje ključeve i račun zahtijeva određeni prag za odobravanje transakcija.
Prema istraživačkom timu, ranjivost Tronovog multisign-a omogućava generiranje mnogo valjanih potpisa. napisali su:
“Možemo zaobići proces verifikacije s više znakova potpisivanjem iste poruke nedeterminističkim jednoznacima po našem izboru. Na taj način, moći ćemo generirati mnogo važećih različitih potpisa za istu poruku pomoću istog privatnog ključa.”
Prema timu za kibernetičku sigurnost, Tron osigurava da su potpisi jedinstveni umjesto da provjerava da li su potpisnici jedinstveni. Zbog toga, potpisnici mogu potencijalno "dvostruko glasati" ili potpisati dva puta. Omer Sadika, izvršni direktor dWallet Labsa, rekao je da je popravka jednostavna: provjerite adresu umjesto broja potpisa.
Istraživači su napomenuli da je ranjivost prijavljena Tronu u februaru i utvrđena nekoliko dana nakon toga.
Povezano: Justin Sun se izvinjava nakon što se Sui LaunchPool sukobio s izvršnim direktorom Binancea
Cointelegraph se obratio Tronu za komentare, ali nije dobio odgovor.
U međuvremenu, još jedan decentralizovani finansijski protokol nedavno je pretrpeo eksploataciju od 7.5 miliona dolara. 28. maja, blockchain sigurnosna firma PeckShield izvijestila je da je Jimbos protokol baziran na Arbitrumu hakovan, što je rezultiralo gubitkom 4,000 Ether (ETH).
Časopis: SAD i Kina pokušavaju slomiti Binance, SBF-ov zahtjev za mito od 40 miliona dolara
Izvor: https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team