Raziskovalna skupina pri dWallet Labs je odkrila ranljivost ničelnega dne v računih Tron multisig, ki napadalcu omogoča, da obide mehanizem večpodpisov in podpiše transakcije z enim samim podpisom.
V objavi o tehnični razčlenitvi je raziskovalna skupina dejala, da bi lahko ranljivost vplivala na 500 milijonov dolarjev sredstev na računih Tron multisig. To je zato, ker vsakemu podpisniku omogoča, da "popolnoma premaga varnost z več podpisi, ki jo ponuja TRON."
0d, naša superzvezdna raziskovalna skupina za kibernetsko varnost, je odkrila ranljivost v računih TRON multisig, ki ogroža več kot 500 milijonov dolarjev digitalnih sredstev – to je bilo razkrito in popravljeno, tako da zdaj ni ogroženih nobenih uporabniških sredstev.
Tehnična razčlenitev: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) Maj 30, 2023
Kot že ime pove, denarnice z več podpisi zahtevajo več podpisnikov, definiranih v računu, za odobritev transakcij in premikanje sredstev, kar omogoča ustvarjanje skupnih računov v kripto. Vsak podpisnik računa ima svoje ključe in račun zahteva določen prag za odobritev transakcij.
Po navedbah raziskovalne skupine ranljivost Tronovega multisiga omogoča generiranje številnih veljavnih podpisov. Zapisali so:
»Postopek preverjanja z več znaki lahko zaobidemo tako, da podpišemo isto sporočilo z nedeterminističnimi nonce po naši izbiri. S tem bomo lahko ustvarili veliko veljavnih različnih podpisov za isto sporočilo z istim zasebnim ključem.«
Po besedah ekipe za kibernetsko varnost Tron zagotavlja, da so podpisi edinstveni, namesto da preverja, ali so podpisniki edinstveni. Zaradi tega lahko podpisniki potencialno "dvojno glasujejo" ali podpišejo dvakrat. Omer Sadika, izvršni direktor dWallet Labs, je dejal, da je popravek preprost: preverite naslov namesto števila podpisov.
Raziskovalci so ugotovili, da je bila ranljivost Tronu prijavljena februarja in popravljena nekaj dni zatem.
Povezano: Justin Sun se opraviči po sporu Sui LaunchPool z izvršnim direktorjem Binance
Cointelegraph se je obrnil na Tron za komentarje, vendar ni prejel odgovora.
Med drugimi novicami je pred kratkim še en protokol za decentralizirano financiranje utrpel izkoriščanje v vrednosti 7.5 milijona dolarjev. 28. maja je varnostno podjetje za verigo blokov PeckShield poročalo, da je prišlo do vdora v Jimbos Protocol, ki temelji na Arbitrumu, kar je povzročilo izgubo 4,000 Ether (ETH).
Revija: ZDA in Kitajska poskušata zatreti Binance, SBF zahteva 40 milijonov dolarjev podkupnine
Vir: https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team