Badacze bezpieczeństwa ujawnili 30 maja lukę w zabezpieczeniach łańcucha blokowego TRON, która wcześniej narażała kryptowaluty o wartości 500 milionów dolarów.
Jeden podpisujący mógł uzyskać dostęp do kont multisig
Zespół badawczy 0d w laboratoriach dWallet powiedział, że krytyczna luka dnia zerowego w łańcuchu blokowym TRON naraziła konta multisig na kradzież.
Konta multi-sig muszą być podpisane wieloma podpisami przed wykonaniem transakcji, jak sugeruje nazwa. Jednak luka wykryta w TRON umożliwiłaby każdemu sygnatariuszowi powiązanemu z dowolnym kontem multisig samodzielny dostęp do środków na tym koncie.
Przeoczenia w podejściu TRON do multisig sprawiły, że proces weryfikacji nie zweryfikował wszystkich niezbędnych informacji. Według badaczy 0d, ta linia ataku „całkowicie przezwyciężyłaby” zabezpieczenia multisig TRON.
Członek zespołu Omer Sadika napisał:
„… Proces weryfikacji multisig [można było] ominąć, podpisując tę samą wiadomość za pomocą niedeterministycznych wartości jednorazowych… Mówiąc najprościej, jeden podpisujący może utworzyć wiele ważnych podpisów dla tej samej wiadomości”.
Według naukowców rozwiązanie tego problemu było proste. Podpisy są teraz porównywane z listą adresów, a nie tylko z listą podpisów.
Luka została zgłoszona w lutym
Zespół badawczy 0d powiedział, że zgłosił problem za pośrednictwem programu nagród za błędy TRON 19 lutego. Zespół dodał, że TRON załatał lukę w zabezpieczeniach w ciągu kilku dni i powiedział, że większość walidatorów TRON jest już załatana.
Badacze podkreślili w osobnym oświadczeniu na Twitterze, że „żadne zasoby użytkowników nie są zagrożone” teraz, gdy luka została naprawiona.
TRON nie wydał jeszcze własnego publicznego oświadczenia.
Post, w którym TRON uniknął luki multisig o wartości 500 milionów dolarów, pojawił się jako pierwszy na CryptoSlate.
Źródło: https://cryptoslate.com/tron-avoided-500m-multisig-vulnerability/