Sigurnosni istraživači otkrili su ranjivost u TRON blockchainu 30. svibnja koja je prethodno ugrozila 500 milijuna dolara kriptovaluta.
Jedan potpisnik mogao je pristupiti multisig računima
Istraživački tim 0d u laboratorijima dWallet rekao je da je kritična zero-day ranjivost u TRON blockchainu ostavila multisig račune otvorenima za krađu.
Multi-sig računi moraju biti potpisani višestrukim potpisima prije nego što izvrše transakciju, kao što naziv sugerira. Međutim, ranjivost pronađena u TRON-u omogućila bi bilo kojem potpisniku povezanom s bilo kojim multisig računom da sam pristupi sredstvima unutar tog računa.
Propusti u TRON-ovom pristupu multisig-u značili su da proces provjere nije provjerio sve potrebne informacije. Ova linija napada bi "potpuno nadvladala" TRON-ovu multisig sigurnost, prema 0d istraživačima.
Član tima Omer Sadika napisao:
” … Proces verifikacije s više potpisa [mogao se] zaobići potpisivanjem iste poruke nedeterminističkim nonce… Jednostavno rečeno, jedan potpisnik može stvoriti više valjanih potpisa za istu poruku.”
Rješenje ovog problema bilo je jednostavno, prema istraživačima. Potpisi se sada provjeravaju prema popisu adresa, a ne samo prema popisu potpisa.
Ranjivost je prijavljena u veljači
0d istraživački tim rekao je da su prijavili problem putem TRON-ovog programa za dodjelu grešaka 19. veljače. Tim je dodao da je TRON zakrpao ranjivost u nekoliko dana, te su rekli da je većina TRON validatora sada zakrpana.
Istraživači su u zasebnoj izjavi na Twitteru naglasili da "nema korisničke imovine u opasnosti" sada kada je ranjivost popravljena.
TRON još nije izdao svoju izjavu za javnost.
Post TRON izbjegao multisig ranjivost od 500 milijuna dolara pojavio se prvo na CryptoSlate.
Izvor: https://cryptoslate.com/tron-avoided-500m-multisig-vulnerability/