A biztonsági kutatók május 30-án fedték fel a TRON blokklánc sérülékenységét, amely korábban 500 millió dollárnyi kriptográfiai kockázatot jelentett.
Egy aláíró hozzáférhetett a multitisig fiókokhoz
A dWallet Labs 0d kutatócsoportja azt mondta, hogy a TRON blokklánc kritikus nulladik napi sebezhetősége miatt a multisig-fiókok lopás előtt állnak.
A többszignes fiókokat több aláírással kell aláírni, mielőtt tranzakciót hajtanának végre, ahogy a neve is sugallja. A TRON-ban talált sebezhetőség azonban lehetővé tette volna bármely multisig-fiókhoz társított aláíró számára, hogy egymaga hozzáférjen az adott számlán lévő pénzeszközökhöz.
A TRON multisig-hez való hozzáállásának figyelmen kívül hagyása azt jelentette, hogy az ellenőrzési folyamata nem ellenőrizte az összes szükséges információt. A 0d kutatói szerint ez a támadási vonal „teljesen legyőzte” a TRON multisig biztonságát.
A csapat tagja, Omer Sadika írt:
"… A többjeles ellenőrzési folyamatot [lehet] megkerülni, ha ugyanazt az üzenetet nem determinisztikus hiányosságokkal írják alá... Egyszerűen fogalmazva, egy aláíró több érvényes aláírást is létrehozhat ugyanahhoz az üzenethez.
A probléma megoldása a kutatók szerint egyszerű volt. Az aláírásokat most a címlistához hasonlítják, nem csak az aláírások listájához.
A sebezhetőséget februárban jelentették
A 0d kutatócsoport azt mondta, hogy a problémát a TRON hibajavító programján keresztül jelentették február 19-én. A csapat hozzátette, hogy a TRON napokon belül befoltozta a sebezhetőséget, és azt mondták, hogy a legtöbb TRON-ellenőrző már meg van javítva.
A kutatók külön Twitter-nyilatkozatban hangsúlyozták, hogy „nincs veszélyben a felhasználói vagyon”, most, hogy a sérülékenységet kijavították.
A TRON még nem adott ki nyilvános közleményt.
A bejegyzés, a TRON elkerülte az 500 millió dolláros multisig sebezhetőséget, először a CryptoSlate-en jelent meg.
Forrás: https://cryptoslate.com/tron-avoided-500m-multisig-vulnerability/