dWallet Labs'deki bir araştırma ekibi, Tron multisig hesaplarında, bir saldırganın çoklu imza mekanizmasını atlamasına ve işlemleri tek bir imzayla imzalamasına olanak tanıyan sıfır günlük bir güvenlik açığı keşfetti.
Araştırma ekibi, teknik bir arıza gönderisinde, güvenlik açığının Tron multisig hesaplarında tutulan 500 milyon dolarlık varlığı etkileyebileceğini söyledi. Bunun nedeni, herhangi bir imzalayanın "TRON tarafından sunulan çoklu imza güvenliğinin tamamen üstesinden gelmesine" izin vermesidir.
Süperstar siber güvenlik araştırma ekibimiz 0d, TRON multisig hesaplarında 500 milyon dolardan fazla dijital varlığı riske atan bir güvenlik açığı keşfetti – bu açıklandı ve düzeltildi, böylece şu anda risk altında hiçbir kullanıcı varlığı yok.
Teknik bir arıza: https://t.co/nMj6kV6Oc3
— dWallet Laboratuvarları (@dWalletLabs) Mayıs 30, 2023
Adından da anlaşılacağı gibi, çok imzalı cüzdanlar, işlemleri onaylamak ve fonları taşımak için bir hesapta tanımlanmış birden çok imzalayıcı gerektirir, bu da kriptoda ortak hesapların oluşturulmasına izin verir. Her hesabı imzalayanın kendi anahtarları vardır ve hesap, işlemleri onaylamak için belirli bir eşik gerektirir.
Araştırma ekibine göre, Tron'un multisig'indeki güvenlik açığı, birçok geçerli imzanın oluşturulmasına izin veriyor. Yazdılar:
"Aynı mesajı, tercih ettiğimiz deterministik olmayan nons'larla imzalayarak çoklu imza doğrulama sürecini atlayabiliriz. Bunu yaparak, aynı özel anahtarla aynı mesaj için birçok geçerli farklı imza oluşturabileceğiz.”
Siber güvenlik ekibine göre Tron, imzalayanların benzersiz olup olmadığını kontrol etmek yerine imzaların benzersiz olmasını sağlıyor. Bu nedenle, imzalayanlar potansiyel olarak "çifte oy kullanabilir" veya iki kez imzalayabilir. dWallet Labs CEO'su Ömer Sadika, düzeltmenin basit olduğunu söyledi: imza sayısı yerine adresi doğrulayın.
Araştırmacılar, güvenlik açığının Şubat ayında Tron'a bildirildiğini ve günler sonra düzeltildiğini kaydetti.
İlgili: Justin Sun, Sui LaunchPool'un Binance CEO'su ile çatışmasının ardından özür diledi
Cointelegraph, yorum için Tron'a ulaştı ancak bir yanıt alamadı.
Öte yandan, başka bir merkezi olmayan finans protokolü yakın zamanda 7.5 milyon dolarlık bir istismara maruz kaldı. 28 Mayıs'ta, blockchain güvenlik şirketi PeckShield, Arbitrum tabanlı Jimbos Protokolünün saldırıya uğradığını ve bunun sonucunda 4,000 Ether (ETH) kaybına yol açtığını bildirdi.
Dergi: ABD ve Çin, SBF'nin 40 milyon dolarlık rüşvet iddiası olan Binance'i ezmeye çalışıyor
Kaynak: https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team