Isang research team sa dWallet Labs ang nakatuklas ng zero-day vulnerability sa Tron multisig account, na nagpapahintulot sa isang attacker na laktawan ang multisignature na mekanismo at pumirma ng mga transaksyon gamit ang isang signature.
Sa isang teknikal na breakdown post, sinabi ng pangkat ng pananaliksik na ang kahinaan ay maaaring makaapekto sa $500 milyon sa mga asset na hawak sa mga Tron multisig account. Ito ay dahil pinapayagan nito ang sinumang pumirma na "ganap na mapagtagumpayan ang multisig na seguridad na inaalok ng TRON."
0d, ang aming superstar cybersecurity research team, ay nakatuklas ng kahinaan sa mga TRON multisig account na naglalagay ng higit sa $500M ng mga digital asset sa panganib – ito ay isiniwalat at naayos kaya walang mga asset ng user na nasa panganib ngayon.
Isang teknikal na breakdown:https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) Mayo 30, 2023
Gaya ng ipinahihiwatig ng pangalan nito, ang mga multisignature na wallet ay nangangailangan ng maraming signer na tinukoy sa isang account upang aprubahan ang mga transaksyon at ilipat ang mga pondo, na nagpapahintulot sa paglikha ng magkasanib na mga account sa crypto. Ang bawat account signer ay may hawak ng kanilang sariling mga susi at ang account ay nangangailangan ng isang tiyak na threshold para sa pag-apruba ng mga transaksyon.
Ayon sa pangkat ng pananaliksik, ang kahinaan sa multisig ng Tron ay nagbibigay-daan sa pagbuo ng maraming wastong lagda. Sumulat sila:
“Maaari naming i-bypass ang proseso ng multisig na pag-verify sa pamamagitan ng pagpirma sa parehong mensahe na may mga hindi tiyak na nonces na aming pinili. Sa paggawa nito, makakabuo kami ng maraming wastong iba't ibang lagda para sa parehong mensahe sa pamamagitan ng parehong pribadong key."
Ayon sa cybersecurity team, tinitiyak ng Tron na ang mga lagda ay natatangi sa halip na suriin kung ang mga pumirma ay kakaiba. Dahil dito, maaaring mag-“double vote” o pumirma ng dalawang beses ang mga lumagda. Sinabi ni Omer Sadika, ang CEO ng dWallet Labs, na ang pag-aayos ay simple: i-verify ang address sa halip na ang bilang ng mga lagda.
Napansin ng mga mananaliksik na ang kahinaan ay iniulat sa Tron noong Pebrero at naayos na mga araw pagkatapos.
Nauugnay: Nag-isyu si Justin Sun ng paumanhin pagkatapos makipagsagupaan ang Sui LaunchPool sa CEO ng Binance
Nakipag-ugnayan ang Cointelegraph kay Tron para sa mga komento ngunit hindi nakatanggap ng tugon.
Sa iba pang balita, ang isa pang desentralisadong protocol sa pananalapi ay nagdusa kamakailan ng $7.5 milyon na pagsasamantala. Noong Mayo 28, iniulat ng blockchain security firm na PeckShield na ang Jimbos Protocol na nakabase sa Arbitrum ay na-hack, na nagresulta sa pagkawala ng 4,000 Ether (ETH).
Magazine: Sinisikap ng US at China na durugin ang Binance, ang $40M na panunuhol ng SBF
Pinagmulan: https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team