Ett forskarteam på dWallet Labs har upptäckt en nolldagarssårbarhet i Tron multisig-konton, vilket gör att en angripare kan kringgå multisignaturmekanismen och signera transaktioner med en enda signatur.
I ett tekniskt inlägg sa forskargruppen att sårbarheten kunde ha påverkat 500 miljoner dollar i tillgångar som innehas på Tron multisig-konton. Detta beror på att det tillåter alla undertecknare att "fullständigt övervinna multisig-säkerheten som erbjuds av TRON."
0d, vårt forskarteam för superstjärnor för cybersäkerhet, upptäckte en sårbarhet i TRON multisig-konton som satte över 500 miljoner dollar av digitala tillgångar i riskzonen – det avslöjades och fixades så det finns inga användartillgångar i riskzonen nu.
Ett tekniskt haveri: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) Maj 30, 2023
Som namnet antyder kräver plånböcker med flera signaturer att flera undertecknare definieras på ett konto för att godkänna transaktioner och flytta pengar, vilket möjliggör skapandet av gemensamma konton i krypto. Varje kontoundertecknare har sina egna nycklar och kontot kräver en viss tröskel för att godkänna transaktioner.
Enligt forskargruppen tillåter sårbarheten med Trons multisig att generera många giltiga signaturer. De skrev:
"Vi kan kringgå multisig-verifieringsprocessen genom att signera samma meddelande med icke-deterministiska nonces som vi väljer. Genom att göra det kommer vi att kunna generera många giltiga olika signaturer för samma meddelande med samma privata nyckel."
Enligt cybersäkerhetsteamet säkerställer Tron att signaturerna är unika istället för att kontrollera om undertecknarna är unika. På grund av detta kan undertecknare potentiellt "dubbelrösta" eller skriva under två gånger. Omer Sadika, VD för dWallet Labs, sa att korrigeringen var enkel: verifiera adressen istället för antalet signaturer.
Forskarna noterade att sårbarheten rapporterades till Tron i februari och fixades dagar efter.
Relaterat: Justin Sun ber om ursäkt efter att Sui LaunchPool kolliderat med Binances vd
Cointelegraph kontaktade Tron för kommentarer men fick inget svar.
I andra nyheter drabbades ett annat decentraliserat finansprotokoll nyligen för en exploatering på 7.5 miljoner dollar. Den 28 maj rapporterade blockkedjesäkerhetsföretaget PeckShield att Arbitrum-baserade Jimbos Protocol hackades, vilket resulterade i förlusten av 4,000 XNUMX Ether (ETH).
Magazine: USA och Kina försöker krossa Binance, SBF:s mutanspråk på 40 miljoner dollar
Källa: https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team