Istraživački tim dWallet Labsa otkrio je zero-day ranjivost u Tron multisig računima, koja napadaču omogućuje zaobilaženje mehanizma više potpisa i potpisivanje transakcija jednim potpisom.
U objavi o tehničkoj analizi, istraživački tim je rekao da je ranjivost mogla utjecati na 500 milijuna dolara u imovini koja se nalazi na Tron multisig računima. To je zato što omogućuje svakom potpisniku da "potpuno prevlada multisig sigurnost koju nudi TRON."
0d, naš superzvijezda istraživački tim za kibersigurnost, otkrio je ranjivost u TRON multisig računima koja dovodi u opasnost više od 500 milijuna dolara digitalne imovine – to je otkriveno i popravljeno tako da sada nema korisničke imovine u opasnosti.
Tehnički pregled: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) Neka 30, 2023
Kao što ime sugerira, novčanici s više potpisa zahtijevaju više potpisnika definiranih na računu za odobravanje transakcija i premještanje sredstava, omogućujući stvaranje zajedničkih računa u kripto. Svaki potpisnik računa ima vlastite ključeve i račun zahtijeva određeni prag za odobravanje transakcija.
Prema istraživačkom timu, ranjivost s Tronovim multisigom omogućuje generiranje mnogo valjanih potpisa. Napisali su:
“Možemo zaobići proces multisig verifikacije potpisivanjem iste poruke nedeterminističkim nonce po našem izboru. Čineći to, moći ćemo generirati puno valjanih različitih potpisa za istu poruku istim privatnim ključem.”
Prema timu za kibernetičku sigurnost, Tron osigurava da su potpisi jedinstveni umjesto da provjerava jesu li potpisnici jedinstveni. Zbog toga potpisnici potencijalno mogu "dvostruko glasovati" ili dvaput potpisati. Omer Sadika, izvršni direktor dWallet Labsa, rekao je da je popravak jednostavan: provjerite adresu umjesto broja potpisa.
Istraživači su primijetili da je ranjivost prijavljena Tronu u veljači i popravljena nekoliko dana nakon toga.
Povezano: Justin Sun izdaje ispriku nakon što se Sui LaunchPool sukobio s izvršnim direktorom Binancea
Cointelegraph je kontaktirao Tron za komentare, ali nije dobio odgovor.
U ostalim vijestima, još jedan decentralizirani financijski protokol nedavno je pretrpio eksploataciju od 7.5 milijuna dolara. Dana 28. svibnja, sigurnosna tvrtka za blockchain PeckShield izvijestila je da je Jimbos protokol baziran na Arbitrumu hakiran, što je rezultiralo gubitkom 4,000 Ethera (ETH).
Magazin: SAD i Kina pokušavaju slomiti Binance, SBF-ov zahtjev za mito od 40 milijuna dolara
Izvor: https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team