Et forskerhold hos dWallet Labs har opdaget en nul-dages sårbarhed i Tron multisig-konti, hvilket gør det muligt for en angriber at omgå multisignaturmekanismen og underskrive transaktioner med en enkelt signatur.
I et teknisk opdelingsindlæg sagde forskerholdet, at sårbarheden kunne have påvirket $500 millioner i aktiver på Tron multisig-konti. Dette skyldes, at det giver enhver underskriver mulighed for at "fuldstændigt overvinde multisig-sikkerheden, der tilbydes af TRON."
0d, vores superstjerne-cybersikkerhedsforskningsteam, opdagede en sårbarhed i TRON multisig-konti, der satte over $500 millioner digitale aktiver i fare – det blev afsløret og rettet, så der er ingen brugeraktiver i fare nu.
Et teknisk nedbrud: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) Maj 30, 2023
Som navnet antyder, kræver multisignatur-punge flere underskrivere defineret på en konto for at godkende transaktioner og flytte penge, hvilket muliggør oprettelse af fælles konti i krypto. Hver kontounderskriver har deres egne nøgler, og kontoen kræver en vis tærskel for at godkende transaktioner.
Ifølge forskerholdet giver sårbarheden med Trons multisig mulighed for at generere mange gyldige signaturer. De skrev:
"Vi kan omgå multisig-verifikationsprocessen ved at underskrive den samme besked med ikke-deterministiske nonces efter eget valg. Ved at gøre det vil vi være i stand til at generere mange gyldige forskellige signaturer for den samme besked med den samme private nøgle."
Ifølge cybersikkerhedsteamet sikrer Tron, at signaturerne er unikke i stedet for at tjekke, om underskriverne er unikke. På grund af dette kan underskrivere potentielt "dobbeltstemme" eller skrive under to gange. Omer Sadika, administrerende direktør for dWallet Labs, sagde, at rettelsen var enkel: Bekræft adressen i stedet for antallet af signaturer.
Forskerne bemærkede, at sårbarheden blev rapporteret til Tron i februar og fikset dagen efter.
Relateret: Justin Sun giver en undskyldning efter Sui LaunchPool støder sammen med Binance CEO
Cointelegraph kontaktede Tron for kommentarer, men modtog ikke et svar.
I andre nyheder er en anden decentral finansiel protokol for nylig blevet udsat for en udnyttelse på 7.5 millioner dollars. Den 28. maj rapporterede blockchain-sikkerhedsfirmaet PeckShield, at den arbitrum-baserede Jimbos-protokol blev hacket, hvilket resulterede i tab af 4,000 Ether (ETH).
Magazine: USA og Kina forsøger at knuse Binance, SBF's bestikkelseskrav på 40 millioner dollars
Kilde: https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team