Sikkerhedsforskere afslørede en sårbarhed i TRON-blockchain den 30. maj, der tidligere satte 500 millioner dollars i krypto i fare.
Én underskriver kunne have fået adgang til mulitisig-konti
0d-forskerholdet på dWallet labs sagde, at en kritisk nul-dages sårbarhed i TRON blockchain gjorde multisig-konti åbne for tyveri.
Multi-sig-konti skal være underskrevet med flere signaturer, før de udfører en transaktion, som navnet antyder. Imidlertid ville sårbarheden fundet i TRON have givet enhver underskriver tilknyttet en given multisig-konto mulighed for på egen hånd at få adgang til midlerne på denne konto.
Forglemmelser i TRONs tilgang til multisig betød, at dens verifikationsproces ikke verificerede alle nødvendige oplysninger. Denne angrebslinje ville have "fuldstændigt overvundet" TRONs multisig-sikkerhed, ifølge 0d-forskere.
Teammedlem Omer Sadika skrev:
" ... Multisig-bekræftelsesprocessen [kunne være blevet] omgået ved at signere den samme meddelelse med ikke-deterministiske nonces ... Enkelt sagt kan en underskriver oprette flere gyldige signaturer for den samme meddelelse."
Løsningen på dette problem var simpel, ifølge forskere. Signaturer kontrolleres nu mod en liste over adresser, ikke kun en liste over signaturer.
Sårbarhed blev rapporteret i februar
0d-forskerholdet sagde, at de rapporterede problemet via TRON's bug bounty-program den 19. februar. Holdet tilføjede, at TRON fiksede sårbarheden på få dage, og de sagde, at de fleste TRON-validatorer nu er rettet.
Forskere understregede i en separat Twitter-erklæring, at "der er ingen brugeraktiver i fare", nu hvor sårbarheden er blevet rettet.
TRON har endnu ikke udgivet sin egen offentlige erklæring.
Indlægget TRON undgik $500M multisig-sårbarhed dukkede først op på CryptoSlate.
Kilde: https://cryptoslate.com/tron-avoided-500m-multisig-vulnerability/