„dWallet Labs“ tyrimų grupė aptiko nulinės dienos pažeidžiamumą Tron multisig paskyrose, leidžiančią užpuolikui apeiti kelių parašų mechanizmą ir pasirašyti operacijas vienu parašu.
Techninio gedimo pranešime tyrėjų komanda teigė, kad pažeidžiamumas galėjo turėti įtakos 500 mln. USD vertės turtui, laikomam „Tron multisig“ sąskaitose. Taip yra todėl, kad tai leidžia bet kuriam pasirašiusiam asmeniui „visiškai įveikti TRON siūlomą multisig saugumą“.
0d, mūsų superžvaigždė kibernetinio saugumo tyrimų komanda, aptiko TRON multisig paskyrose esantį pažeidžiamumą, dėl kurio kyla pavojus daugiau nei 500 mln. USD vertės skaitmeniniam turtui – jis buvo atskleistas ir ištaisytas, todėl dabar naudotojų turtui negresia pavojus.
Techninis gedimas: https://t.co/nMj6kV6Oc3
– „dWallet Labs“ (@dWalletLabs) Gali 30, 2023
Kaip rodo pavadinimas, kelių parašų piniginėms reikalingi keli paskyroje apibrėžti pasirašantys asmenys, kurie patvirtintų operacijas ir perkeltų lėšas, kad būtų galima sukurti bendras kriptovaliutų paskyras. Kiekvienas sąskaitos pasirašantis asmuo turi savo raktus, o paskyrai reikalingas tam tikras operacijų patvirtinimo slenkstis.
Tyrėjų komandos teigimu, „Tron multisig“ pažeidžiamumas leidžia generuoti daug galiojančių parašų. Jie rašė:
„Mes galime apeiti daugialypės terpės tikrinimo procesą, pasirašydami tą patį pranešimą su nedeterministiniais savo pasirinkimais. Tai darydami galėsime sugeneruoti daug galiojančių skirtingų parašų tam pačiam pranešimui naudojant tą patį privatųjį raktą.
Anot kibernetinio saugumo komandos, „Tron“ užtikrina, kad parašai būtų unikalūs, o ne tikrintų, ar pasirašantieji yra unikalūs. Dėl šios priežasties pasirašiusieji gali „balsuoti dvigubai“ arba pasirašyti du kartus. Omeras Sadika, „dWallet Labs“ generalinis direktorius, sakė, kad tai paprasta: patikrinkite adresą, o ne parašų skaičių.
Tyrėjai pažymėjo, kad apie pažeidžiamumą Tronui buvo pranešta vasario mėnesį ir po kelių dienų.
Susiję: Justinas Sunas atsiprašė po „Sui LaunchPool“ susidūrimo su „Binance“ generaliniu direktoriumi
Cointelegraph susisiekė su Tronu dėl komentarų, bet negavo atsakymo.
Kitos naujienos: kitas decentralizuoto finansavimo protokolas neseniai patyrė 7.5 mln. USD išnaudojimą. Gegužės 28 d. „blockchain“ saugos įmonė „PeckShield“ pranešė, kad „Arbitrum“ pagrindu sukurtas „Jimbo Protocol“ buvo įsilaužtas, todėl buvo prarasta 4,000 eterio (ETH).
Žurnalas: JAV ir Kinija bando sutriuškinti Binance, SBF 40 mln. USD reikalavimą papirkti
Šaltinis: https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team