Cercetătorii în domeniul securității au dezvăluit o vulnerabilitate în blockchain-ul TRON pe 30 mai, care anterior punea în pericol 500 de milioane de dolari cripto.
Un semnatar ar fi putut accesa conturi multifuncționale
Echipa de cercetare 0d de la laboratoarele dWallet a spus că o vulnerabilitate critică de zi zero în blockchain-ul TRON a lăsat conturile multisig deschise furtului.
Conturile cu semnături multiple trebuie să fie semnate prin semnături multiple înainte de a executa o tranzacție, după cum sugerează și numele. Cu toate acestea, vulnerabilitatea găsită în TRON ar fi permis oricărui semnatar asociat cu orice cont multisig dat să acceseze de unul singur fondurile din acel cont.
Obiecțiile în abordarea TRON față de multisig au însemnat că procesul său de verificare nu a verificat toate informațiile necesare. Această linie de atac ar fi „depășit complet” securitatea multisig a TRON, potrivit cercetătorilor 0d.
Membru al echipei Omer Sadika scris:
„... Procesul de verificare multisig [ar fi putut fi] ocolit prin semnarea aceluiași mesaj cu non-uri nedeterministe... Mai simplu spus, un semnatar poate crea mai multe semnături valide pentru același mesaj.”
Soluția la această problemă a fost simplă, potrivit cercetătorilor. Semnăturile sunt acum verificate cu o listă de adrese, nu doar cu o listă de semnături.
Vulnerabilitatea a fost raportată în februarie
Echipa de cercetare 0d a spus că a raportat problema prin programul TRON de recompense pentru erori pe 19 februarie. Echipa a adăugat că TRON a corectat vulnerabilitatea în câteva zile și au spus că majoritatea validatorilor TRON sunt acum patch-uri.
Cercetătorii au subliniat într-o declarație separată de pe Twitter că „nu există active ale utilizatorilor în pericol” acum că vulnerabilitatea a fost remediată.
TRON nu a emis încă propria declarație publică.
Postarea TRON a evitat vulnerabilitatea multisig de 500 de milioane de dolari a apărut prima pe CryptoSlate.
Sursa: https://cryptoslate.com/tron-avoided-500m-multisig-vulnerability/