Sikkerhetsforskere avslørte en sårbarhet i TRON-blokkjeden 30. mai som tidligere satte 500 millioner dollar i krypto i fare.
Én underskriver kunne ha fått tilgang til mulitisig-kontoer
0d-forskningsteamet ved dWallet labs sa at en kritisk nulldagers sårbarhet i TRON-blokkjeden gjorde at multisig-kontoer var åpne for tyveri.
Multi-sig-kontoer må signeres med flere signaturer før de utfører en transaksjon, som navnet antyder. Imidlertid ville sårbarheten som ble funnet i TRON ha tillatt enhver underskriver tilknyttet en gitt multisig-konto på egen hånd å få tilgang til midlene på den kontoen.
Forglemmelser i TRONs tilnærming til multisig gjorde at verifiseringsprosessen ikke bekreftet all nødvendig informasjon. Denne angrepslinjen ville ha "fullstendig overvunnet" TRONs multisig-sikkerhet, ifølge 0d-forskere.
Teammedlem Omer Sadika skrev:
" ... Multisig-verifiseringsprosessen [kunne ha blitt] forbigått ved å signere den samme meldingen med ikke-deterministiske nonser ... Enkelt sagt kan en underskriver opprette flere gyldige signaturer for den samme meldingen."
Løsningen på dette problemet var enkel, ifølge forskere. Signaturer kontrolleres nå mot en liste over adresser, ikke bare en liste over signaturer.
Sårbarhet ble rapportert i februar
0d-forskerteamet sa at de rapporterte problemet via TRONs bug bounty-program 19. februar. Teamet la til at TRON lappet sårbarheten i løpet av dager, og de sa at de fleste TRON-validatorer nå er lappet.
Forskere understreket i en egen Twitter-uttalelse at «det er ingen brukereiendeler i fare» nå som sårbarheten er fikset.
TRON har ennå ikke gitt sin egen offentlige uttalelse.
Innlegget TRON unngikk $500M multisig-sårbarhet dukket først opp på CryptoSlate.
Kilde: https://cryptoslate.com/tron-avoided-500m-multisig-vulnerability/