Varnostni raziskovalci so 30. maja razkrili ranljivost v blokovni verigi TRON, ki je prej ogrožala 500 milijonov dolarjev kripto.
En podpisnik je lahko dostopal do multisig računov
Raziskovalna skupina 0d v laboratorijih dWallet je dejala, da je kritična ranljivost ničelnega dne v blokovni verigi TRON pustila račune z več podpisi odprte za krajo.
Računi z več podpisi morajo biti podpisani z več podpisi, preden izvedejo transakcijo, kot pove že ime. Vendar pa bi ranljivost, najdena v TRON-u, omogočila kateremu koli podpisniku, povezanemu s katerim koli računom multisig, samostojni dostop do sredstev v tem računu.
Pomanjkljivosti v pristopu TRON k multisig so pomenile, da postopek preverjanja ni preveril vseh potrebnih informacij. Po mnenju raziskovalcev 0d bi ta linija napada "popolnoma premagala" TRON-ovo multisig varnost.
Član ekipe Omer Sadika Napisal:
” … Postopek preverjanja več podpisov [bi lahko] zaobšli s podpisovanjem istega sporočila z nedeterminističnimi nonci … Preprosto povedano, en podpisnik lahko ustvari več veljavnih podpisov za isto sporočilo.”
Rešitev tega problema je bila po mnenju raziskovalcev preprosta. Podpisi se zdaj preverjajo glede na seznam naslovov in ne le na seznam podpisov.
O ranljivosti so poročali februarja
Raziskovalna skupina 0d je povedala, da so o težavi poročali prek TRON-ovega programa za nagrajevanje hroščev 19. februarja. Ekipa je dodala, da je TRON popravil ranljivost v nekaj dneh, in rekli so, da je večina validatorjev TRON zdaj popravljenih.
Raziskovalci so v ločeni izjavi na Twitterju poudarili, da zdaj, ko je bila ranljivost odpravljena, "ni ogroženih uporabniških sredstev".
TRON še ni izdal svoje izjave za javnost.
Objava TRON se je izognila 500 milijonov USD ranljivosti multisig pojavila najprej na CryptoSlate.
Vir: https://cryptoslate.com/tron-avoided-500m-multisig-vulnerability/