Et forskerteam ved dWallet Labs har oppdaget en null-dagers sårbarhet i Tron multisig-kontoer, slik at en angriper kan omgå multisignaturmekanismen og signere transaksjoner med en enkelt signatur.
I en teknisk sammenbruddspost sa forskerteamet at sårbarheten kunne ha påvirket 500 millioner dollar i eiendeler holdt i Tron multisig-kontoer. Dette er fordi det lar enhver underskriver "fullstendig overvinne multisig-sikkerheten som tilbys av TRON."
0d, vårt superstjerneforskningsteam for cybersikkerhet, oppdaget en sårbarhet i TRON multisig-kontoer som setter over 500 millioner dollar med digitale eiendeler i fare – den ble avslørt og fikset, så det er ingen brukereiendeler i fare nå.
Et teknisk sammenbrudd: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) Kan 30, 2023
Som navnet antyder, krever multisignatur-lommebøker at flere signere er definert på en konto for å godkjenne transaksjoner og flytte midler, slik at det kan opprettes felles kontoer i krypto. Hver kontounderskriver har sine egne nøkler og kontoen krever en viss terskel for å godkjenne transaksjoner.
Ifølge forskerteamet tillater sårbarheten med Trons multisig å generere mange gyldige signaturer. De skrev:
"Vi kan omgå multisig-verifiseringsprosessen ved å signere den samme meldingen med ikke-deterministiske nonces etter eget valg. Ved å gjøre det vil vi kunne generere mange gyldige forskjellige signaturer for den samme meldingen med den samme private nøkkelen."
Ifølge cybersikkerhetsteamet sikrer Tron at signaturene er unike i stedet for å sjekke om underskriverne er unike. På grunn av dette kan underskrivere potensielt "doble stemme" eller signere to ganger. Omer Sadika, administrerende direktør i dWallet Labs, sa at løsningen var enkel: bekreft adressen i stedet for antall signaturer.
Forskerne bemerket at sårbarheten ble rapportert til Tron i februar og fikset dagene etter.
Relatert: Justin Sun ber om unnskyldning etter at Sui LaunchPool kolliderte med Binance-sjefen
Cointelegraph kontaktet Tron for kommentarer, men fikk ikke svar.
I andre nyheter, en annen desentralisert finansprotokoll nylig lidd av en utnyttelse på 7.5 millioner dollar. Den 28. mai rapporterte blokkjedesikkerhetsfirmaet PeckShield at Arbitrum-baserte Jimbos Protocol ble hacket, noe som resulterte i tap av 4,000 Ether (ETH).
Blad: USA og Kina prøver å knuse Binance, SBFs bestikkelseskrav på 40 millioner dollar
Kilde: https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team