Inihayag ng mga mananaliksik sa seguridad ang isang kahinaan sa TRON blockchain noong Mayo 30 na dati ay naglagay ng $500 milyon ng crypto sa panganib.
Maaaring ma-access ng isang pumirma ang mga mulitisig account
Ang 0d research team sa dWallet labs ay nagsabi na ang isang kritikal na zero-day vulnerability sa TRON blockchain ay nag-iwan sa mga multisig account na bukas sa pagnanakaw.
Ang mga multi-sig na account ay dapat na nilagdaan ng maraming lagda bago sila magsagawa ng transaksyon, gaya ng iminumungkahi ng pangalan. Gayunpaman, ang kahinaan na makikita sa TRON ay magbibigay-daan sa sinumang lumagda na nauugnay sa anumang ibinigay na multisig na account na mag-isang i-access ang mga pondo sa loob ng account na iyon.
Nangangahulugan ang mga oversight sa diskarte ng TRON sa multisig na hindi na-verify ng proseso ng pag-verify nito ang lahat ng kinakailangang impormasyon. Ang linya ng pag-atake na ito ay "ganap na madaig" ang multisig na seguridad ng TRON, ayon sa mga mananaliksik ng 0d.
Miyembro ng pangkat na si Omer Sadika sinulat ni:
” … Ang proseso ng multisig na pag-verify [maaaring] nalampasan sa pamamagitan ng paglagda sa parehong mensahe na may mga hindi tiyak na nonces...Sa madaling salita, ang isang pumirma ay maaaring lumikha ng maraming wastong lagda para sa parehong mensahe.”
Ang solusyon sa problemang ito ay simple, ayon sa mga mananaliksik. Ang mga lagda ay sinusuri na ngayon laban sa isang listahan ng mga address, hindi lamang isang listahan ng mga lagda.
Iniulat ang kahinaan noong Pebrero
Sinabi ng 0d research team na iniulat nila ang isyu sa pamamagitan ng bug bounty program ng TRON noong Peb. 19. Idinagdag ng team na na-patch ng TRON ang kahinaan sa loob ng ilang araw, at sinabi nila na karamihan sa mga validator ng TRON ay na-patch na ngayon.
Binigyang-diin ng mga mananaliksik sa isang hiwalay na pahayag sa Twitter na "walang mga asset ng gumagamit na nasa panganib" ngayong naayos na ang kahinaan.
Ang TRON ay hindi pa naglalabas ng sarili nitong pampublikong pahayag.
Ang post na iniwasan ng TRON ang $500M multisig na kahinaan ay lumitaw muna sa CryptoSlate.
Pinagmulan: https://cryptoslate.com/tron-avoided-500m-multisig-vulnerability/