Охранная компания обнаружила уязвимость в мультиподписных аккаунтах Tron стоимостью 500 миллионов долларов

Новости

Исследовательская группа dWallet Labs обнаружила уязвимость нулевого дня в учетных записях Tron с мультиподписью, позволяющую злоумышленнику обойти механизм мультиподписи и подписывать транзакции одной подписью.

В техническом сообщении исследовательская группа заявила, что уязвимость могла повлиять на активы на 500 миллионов долларов, хранящиеся на мультиподписных счетах Tron. Это связано с тем, что он позволяет любому подписывающему лицу «полностью преодолеть мультиподписную безопасность, предлагаемую TRON».

Как следует из названия, для кошельков с мультиподписью требуется несколько подписантов, определенных в учетной записи, для утверждения транзакций и перемещения средств, что позволяет создавать совместные учетные записи в криптовалюте. Каждая сторона, подписывающая учетную запись, имеет свои собственные ключи, и учетная запись требует определенного порога для утверждения транзакций.

По словам исследовательской группы, уязвимость с мультиподписью Tron позволяет генерировать множество действительных подписей. Они написали:

«Мы можем обойти процесс проверки мультиподписи, подписав одно и то же сообщение недетерминированными одноразовыми номерами по нашему выбору. Таким образом, мы сможем генерировать множество действительных разных подписей для одного и того же сообщения с помощью одного и того же закрытого ключа».

По словам команды кибербезопасности, Tron обеспечивает уникальность подписей, а не проверяет, уникальны ли подписанты. Из-за этого подписавшие потенциально могут «двойно проголосовать» или подписать дважды. Омер Садика, генеральный директор dWallet Labs, сказал, что решение было простым: проверяйте адрес, а не количество подписей.

Садика обсуждала уязвимость в треде. Источник: Твиттер

Исследователи отметили, что об уязвимости сообщили Tron в феврале и исправили через несколько дней.

Связанный: Джастин Сан приносит извинения после столкновений Sui LaunchPool с генеральным директором Binance

Коинтелеграф обратился к Tron за комментариями, но не получил ответа.

В других новостях другой протокол децентрализованных финансов недавно пострадал от эксплойта на 7,5 миллионов долларов.28 мая компания по обеспечению безопасности блокчейна PeckShield сообщила, что протокол Jimbos на базе Arbitrum был взломан, что привело к потере 4000 эфиров (ETH).

Источник

Автор, являюсь внимательным наблюдателем тенденций и новых идей в области криптовалют и блокчейн технологий. Слежу за последними новостями и развитиями в этой области и готов анализировать и интерпретировать их для читателей.

Стремлюсь быть в курсе всех новых идей и инноваций в криптоиндустрии, чтобы статьи были всегда актуальными и полезными. Моя цель - предоставить читателям полную и достоверную информацию о последних тенденциях и развитиях в криптоиндустрии.

Считаю, что быть внимательным к тенденциям и новым идеям - важный аспект моей работы как автора, поскольку позволяет мне предоставлять читателям самую свежую и актуальную информацию в этой быстро развивающейся области.

Оцените автора
CryptoHamster.org
Добавить комментарий