شرکت امنیتی آسیب پذیری 500 میلیون دلاری را در حساب های Tron multisig کشف کرد
پس از گزارش این آسیبپذیری به Tron در ماه فوریه، محققان تاکید کردند که این مشکل به سرعت مورد بررسی قرار گرفت و ظرف چند روز حل شد.
یک تیم تحقیقاتی در آزمایشگاه dWallet یک آسیبپذیری روز صفر را در حسابهای Tron multisig کشف کردهاند که به مهاجم اجازه میدهد مکانیسم چند امضایی را دور بزند و تراکنشها را با یک امضا حل کند.
در یک پست شکست فنی، تیم تحقیقاتی گفت که این آسیبپذیری میتواند 500 میلیون دلار در داراییهای نگهداری شده در حسابهای Tron multisig را تحت تأثیر قرار دهد. این به این دلیل است که به هر امضا کننده اجازه می دهد “به طور کامل بر امنیت multisig ارائه شده توسط TRON غلبه کند.”
همانطور که از نام آن پیداست، کیف پولهای چند امضایی برای تایید تراکنشها و جابجایی وجوه نیاز به امضاکنندگان متعددی دارند که در یک حساب تعریف شدهاند و امکان ایجاد حسابهای مشترک در رمزارز را فراهم میکنند. هر امضاکننده حساب کلیدهای خود را دارد و حساب به آستانه خاصی برای تأیید تراکنش ها نیاز دارد.
به گفته تیم تحقیقاتی، آسیبپذیری با multisig Tron امکان تولید بسیاری از امضاهای معتبر را فراهم میکند. آنها نوشتند:
«ما میتوانیم با امضای همان پیام با علامتهای غیر قطعی انتخابی، فرآیند تأیید چند علامتی را دور بزنیم. با انجام این کار، ما قادر خواهیم بود بسیاری از امضاهای معتبر مختلف را برای یک پیام توسط کلید خصوصی یکسان تولید کنیم.”
طبق گفته تیم امنیت سایبری، ترون به جای اینکه بررسی کند امضاکنندگان منحصر به فرد هستند، اطمینان حاصل می کند که امضاها منحصر به فرد هستند. به همین دلیل، امضاکنندگان به طور بالقوه می توانند «دوبار رأی دهند» یا دو بار امضا کنند. امر سدیکا، مدیر عامل dWallet Labs، گفت که راه حل ساده است: به جای تعداد امضا، آدرس را تأیید کنید.
محققان خاطرنشان کردند که این آسیبپذیری در ماه فوریه به Tron گزارش شد و چند روز پس از آن برطرف شد.
در اخبار دیگر، یک پروتکل مالی غیرمتمرکز اخیراً 7.5 میلیون دلار مورد سوء استفاده قرار گرفت. در 28 مه، شرکت امنیتی بلاک چین PeckShield گزارش داد که پروتکل Jimbos مبتنی بر آربیتروم هک شده و منجر به از دست رفتن 4000 اتر (ETH) شد.