Η εταιρεία ασφαλείας ανακαλύπτει ευπάθεια 500 εκατομμυρίων δολαρίων στους λογαριασμούς Tron multisig

Μια ερευνητική ομάδα στο dWallet Labs ανακάλυψε μια ευπάθεια zero-day στους λογαριασμούς Tron multisig, επιτρέποντας σε έναν εισβολέα να παρακάμψει τον μηχανισμό πολλαπλών υπογραφών και να υπογράψει συναλλαγές με μία μόνο υπογραφή.

Σε μια δημοσίευση τεχνικής ανάλυσης, η ερευνητική ομάδα είπε ότι η ευπάθεια θα μπορούσε να έχει επηρεάσει 500 εκατομμύρια δολάρια σε περιουσιακά στοιχεία που διατηρούνται σε λογαριασμούς Tron multisig. Αυτό συμβαίνει επειδή επιτρέπει σε κάθε υπογράφοντα να «ξεπεράσει πλήρως την ασφάλεια πολλαπλών σημάτων που προσφέρει η TRON».

Μεγαλύτερες κινήσεις: Το TRON πλησιάζει στο Top 10 των Crypto, καθώς το MATIC επεκτείνεται με πτώση(Ανοίγει σε νέα καρτέλα)

Η 0d, η ομάδα ερευνών μας για την ασφάλεια στον κυβερνοχώρο σούπερ σταρ, ανακάλυψε μια ευπάθεια στους λογαριασμούς TRON multisig που έθετε σε κίνδυνο πάνω από 500 εκατομμύρια δολάρια ψηφιακών περιουσιακών στοιχείων – αποκαλύφθηκε και διορθώθηκε, επομένως δεν υπάρχουν πλέον σε κίνδυνο περιουσιακά στοιχεία χρηστών.

Τεχνική ανάλυση:https://t.co/nMj6kV6Oc3

— dWallet Labs (@dWalletLabs) 30 Μαΐου 2023

Όπως υποδηλώνει το όνομά του, τα πορτοφόλια πολλαπλών υπογραφών απαιτούν πολλούς υπογράφοντες που ορίζονται σε έναν λογαριασμό για να εγκρίνουν συναλλαγές και να μετακινούν χρήματα, επιτρέποντας τη δημιουργία κοινών λογαριασμών σε κρυπτογράφηση. Κάθε υπογράφοντα λογαριασμού έχει τα δικά του κλειδιά και ο λογαριασμός απαιτεί ένα συγκεκριμένο όριο για την έγκριση συναλλαγών.

Σύμφωνα με την ερευνητική ομάδα, η ευπάθεια με το multisig του Tron επιτρέπει τη δημιουργία πολλών έγκυρων υπογραφών. Αυτοί έγραψαν:

«Μπορούμε να παρακάμψουμε τη διαδικασία επαλήθευσης πολλαπλών σημείων υπογράφοντας το ίδιο μήνυμα με μη ντετερμινιστικές ονομασίες της επιλογής μας. Με αυτόν τον τρόπο, θα είμαστε σε θέση να δημιουργήσουμε πολλές έγκυρες διαφορετικές υπογραφές για το ίδιο μήνυμα από το ίδιο ιδιωτικό κλειδί.”

Οι εισαγγελείς της Σεούλ πιστεύουν ότι ο συνιδρυτής της Terra Do Kwon εξακολουθεί να έχει στην κατοχή του 100 εκατομμύρια δολάρια σε ελβετικό τραπεζικό λογαριασμό(Ανοίγει σε νέα καρτέλα)

Σύμφωνα με την ομάδα κυβερνοασφάλειας, ο Tron διασφαλίζει ότι οι υπογραφές είναι μοναδικές αντί να ελέγχει εάν οι υπογράφοντες είναι μοναδικοί. Εξαιτίας αυτού, οι υπογράφοντες μπορούν ενδεχομένως να «διπλασιάσουν» ή να υπογράψουν δύο φορές. Ο Omer Sadika, Διευθύνων Σύμβουλος της dWallet Labs, είπε ότι η επιδιόρθωση ήταν απλή: επαληθεύστε τη διεύθυνση αντί για τον αριθμό των υπογραφών.

Οι ερευνητές σημείωσαν ότι η ευπάθεια αναφέρθηκε στον Tron τον Φεβρουάριο και διορθώθηκε μέρες μετά.

Σχετίζεται με: Ο Justin Sun ζητά συγγνώμη μετά τη σύγκρουση του Sui LaunchPool με τον CEO της Binance

Η Cointelegraph επικοινώνησε με τον Tron για σχόλια, αλλά δεν έλαβε απάντηση.

Σε άλλες ειδήσεις, ένα άλλο πρωτόκολλο αποκεντρωμένης χρηματοδότησης υπέστη πρόσφατα εκμετάλλευση 7,5 εκατομμυρίων δολαρίων. Στις 28 Μαΐου, η εταιρεία ασφάλειας blockchain PeckShield ανέφερε ότι το πρωτόκολλο Jimbos που βασίζεται στο Arbitrum παραβιάστηκε, με αποτέλεσμα την απώλεια 4.000 Ether (ETH).

Περιοδικό: Οι ΗΠΑ και η Κίνα προσπαθούν να συντρίψουν το Binance, την αξίωση δωροδοκίας 40 εκατομμυρίων δολαρίων της SBF