Истраживачки тим у дВаллет Лабс-у открио је рањивост нултог дана у Трон мулти-сигн налозима, омогућавајући нападачу да заобиђе механизам са више потписа и потпише трансакције једним потписом.
У објави техничког квара, истраживачки тим је рекао да је рањивост могла утицати на 500 милиона долара у имовини која се налази на Трон мултисиг рачунима. То је зато што омогућава сваком потписнику да „потпуно превазиђе вишезначну сигурност коју нуди ТРОН“.
0д, наш суперстар истраживачки тим за сајбер безбедност, открио је рањивост на ТРОН мултисиг налозима која доводи у опасност преко 500 милиона долара дигиталне имовине – откривена је и поправљена тако да сада нема угрожениһ средстава корисника.
Технички квар: хттпс://т.цо/нМј6кВ6Оц3
— дВаллет Лабс (@дВаллетЛабс) Може 30, 2023
Као што му име сугерише, новчаници са више потписа захтевају више потписника дефинисаних на налогу да би одобрили трансакције и преместили средства, омогућавајући креирање заједничких налога у крипто. Сваки потписник налога има своје кључеве и налог захтева одређени праг за одобравање трансакција.
Према истраживачком тиму, рањивост Троновог мултисигн-а омогућава генерисање много валидних потписа. Они су написали:
„Можемо заобићи процес верификације са више знакова потписивањем исте поруке недетерминистичким нонцес по нашем избору. На тај начин ћемо моћи да генеришемо много важећиһ различитиһ потписа за исту поруку помоћу истог приватног кључа.”
Према тиму за сајбер безбедност, Трон осигурава да су потписи јединствени уместо да проверава да ли су потписници јединствени. Због тога, потписници могу потенцијално „двоструко гласати“ или потписати два пута. Омер Садика, извршни директор дВаллет Лабс-а, рекао је да је поправка једноставна: верификовати адресу уместо броја потписа.
Истраживачи су приметили да је рањивост пријављена Трон-у у фебруару и исправљена неколико дана касније.
Релатед: Јустин Сун се извињава након што се Суи ЛаунцхПоол сукобио са извршним директором Бинанце
Цоинтелеграпх се обратио Трону за коментаре, али није добио одговор.
У међувремену, још један децентрализовани финансијски протокол недавно је претрпео експлоатацију од 7.5 милиона долара. 28. маја, блокчејн безбедносна фирма ПецкСхиелд је известила да је Јимбос протокол базиран на Арбитруму хакован, што је резултирало губитком 4,000 Етхер (ЕТХ).
Часопис: САД и Кина покушавају да сломе Бинанце, тврди СБФ за мито од 40 милиона долара
Извор: хттпс://цоинтелеграпх.цом/невс/трон-мултисиг-аццоунтс-вулнерабилити-дисцоверед-би-сецурити-теам