Uzņēmuma dWallet Labs izpētes grupa ir atklājusi Tron multisig kontos nulles dienas ievainojamību, kas ļauj uzbrucējam apiet vairāku parakstu mehānismu un parakstīt darījumus ar vienu parakstu.
Tehniskā sadalījuma ziņojumā pētnieku grupa teica, ka ievainojamība varētu būt ietekmējusi 500 miljonus ASV dolāru aktīvus, kas atrodas Tron multisig kontos. Tas ir tāpēc, ka tas ļauj ikvienam parakstītājam “pilnībā pārvarēt TRON piedāvāto multisig drošību”.
0d, mūsu superzvaigznes kiberdrošības izpētes grupa, atklāja ievainojamību TRON multisig kontos, pakļaujot riskam vairāk nekā 500 miljonus ASV dolāru digitālo līdzekļu — tā tika atklāta un novērsta, tāpēc pašlaik nav apdraudēta neviena lietotāja manta.
Tehniskais bojājums: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) 30. gada 2023. maijs
Kā norāda tās nosaukums, vairāku parakstu makiem ir nepieciešami vairāki kontā definēti parakstītāji, lai apstiprinātu darījumus un pārvietotu līdzekļus, ļaujot izveidot kopīgus kontus kriptovalūtā. Katram konta parakstītājam ir savas atslēgas, un kontam ir nepieciešams noteikts slieksnis darījumu apstiprināšanai.
Pēc pētnieku grupas domām, Tron multisig ievainojamība ļauj ģenerēt daudzus derīgus parakstus. Viņi rakstīja:
“Mēs varam apiet multisig verifikācijas procesu, parakstot vienu un to pašu ziņojumu ar nedeterministiskām neatbilstībām pēc mūsu izvēles. To darot, mēs varēsim ģenerēt daudz derīgu dažādu parakstu vienam ziņojumam ar vienu un to pašu privāto atslēgu.
Saskaņā ar kiberdrošības komandas teikto Tron nodrošina, ka paraksti ir unikāli, nevis pārbauda, vai parakstītāji ir unikāli. Šī iemesla dēļ parakstītāji var “dubultbalsot” vai parakstīties divreiz. Omer Sadika, dWallet Labs izpilddirektors, teica, ka labojums ir vienkāršs: pārbaudiet adresi, nevis parakstu skaitu.
Pētnieki atzīmēja, ka par ievainojamību Tron tika ziņots februārī un fiksētas dienas pēc tam.
Saistītie: Džastins Suns atvainojas pēc Sui LaunchPool sadursmēm ar Binance izpilddirektoru
Cointelegraph sazinājās ar Tronu, lai saņemtu komentārus, bet nesaņēma atbildi.
Citās ziņās citam decentralizētajam finanšu protokolam nesen tika izmantots 7.5 miljonu ASV dolāru. 28. maijā blokķēdes drošības firma PeckShield ziņoja, ka uz Arbitrum balstītais Jimbos Protocol tika uzlauzts, kā rezultātā tika zaudēti 4,000 ētera (ETH).
Žurnāls: ASV un Ķīna cenšas sagraut Binance, SBF 40 miljonu dolāru kukuļa prasību
Avots: https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team