Güvenlik araştırmacıları, 30 Mayıs'ta TRON blok zincirinde daha önce 500 milyon dolarlık kriptoyu riske atan bir güvenlik açığını açıkladı.
Bir imzalayan mulitisig hesaplarına erişmiş olabilir
dWallet laboratuvarlarındaki 0d araştırma ekibi, TRON blok zincirindeki kritik bir sıfır gün güvenlik açığının çoklu imza hesaplarını hırsızlığa açık bıraktığını söyledi.
Adından da anlaşılacağı gibi, çoklu imza hesapları, bir işlemi gerçekleştirmeden önce birden fazla imza ile imzalanmalıdır. Bununla birlikte, TRON'da bulunan güvenlik açığı, herhangi bir çoklu imza hesabıyla ilişkili herhangi bir imzalayanın, bu hesaptaki fonlara tek başına erişmesine izin verebilirdi.
TRON'un multisig yaklaşımındaki gözden kaçırmalar, doğrulama sürecinin gerekli tüm bilgileri doğrulamadığı anlamına geliyordu. 0d araştırmacılarına göre, bu saldırı hattı TRON'un çoklu imza güvenliğini "tamamen aşardı".
Takım üyesi Ömer Sadıka yazdı:
” … Çoklu imza doğrulama süreci, aynı mesajı deterministik olmayan nons ile imzalayarak atlanabilirdi… Basitçe söylemek gerekirse, bir imzalayan aynı mesaj için birden fazla geçerli imza oluşturabilir.”
Araştırmacılara göre bu sorunun çözümü basitti. İmzalar artık sadece bir imza listesine göre değil, bir adres listesine göre kontrol ediliyor.
Güvenlik açığı Şubat ayında bildirildi
0d araştırma ekibi, sorunu 19 Şubat'ta TRON'un bug bounty programı aracılığıyla bildirdiklerini söyledi. Ekip, TRON'un güvenlik açığını günler içinde yamaladığını ve TRON doğrulayıcılarının çoğunun artık yamalandığını söylediler.
Araştırmacılar, ayrı bir Twitter açıklamasında, güvenlik açığı giderildiği için artık "risk altında hiçbir kullanıcı varlığı kalmadığını" vurguladı.
TRON henüz kendi basın açıklamasını yayınlamadı.
TRON sonrası 500 milyon dolarlık multisig güvenlik açığı ilk olarak CryptoSlate'te ortaya çıktı.
Kaynak: https://cryptoslate.com/tron-avoided-500m-multisig-vulnerability/