dWallet Labs зерттеу тобы Tron multisig тіркелгілеріндегі нөлдік күндік осалдықты анықтады, бұл шабуылдаушыға көп қолтаңба механизмін айналып өтуге және бір қолтаңбамен транзакцияларға қол қоюға мүмкіндік береді.
Техникалық үзінді жазбасында зерттеу тобы осалдық Tron multisig шоттарында сақталған 500 миллион долларлық активтерге әсер етуі мүмкін екенін айтты. Себебі ол кез келген қол қоюшыға «TRON ұсынатын мультисиг қауіпсіздігін толығымен жеңуге» мүмкіндік береді.
0d, біздің супержұлдыз киберқауіпсіздік зерттеу тобы, TRON multisig есептік жазбаларында 500 миллион доллардан астам сандық активтерге қауіп төндіретін осалдықты анықтады - ол ашылды және түзетілді, сондықтан қазір тәуекелге ұшыраған пайдаланушы активтері жоқ.
Техникалық ақау: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) Мамыр 30, 2023
Аты айтып тұрғандай, көп қолтаңбалы әмияндар транзакцияларды мақұлдау және қаражатты жылжыту үшін тіркелгіде анықталған бірнеше қол қоюшыларды талап етеді, бұл криптода бірлескен шоттарды құруға мүмкіндік береді. Әрбір тіркелгіге қол қоюшының өз кілттері бар және тіркелгі транзакцияларды мақұлдау үшін белгілі бір шекті талап етеді.
Зерттеу тобының айтуынша, Tron мультисигіндегі осалдық көптеген жарамды қолтаңбаларды жасауға мүмкіндік береді. Олар былай деп жазды:
«Біз таңдауымыз бойынша детерминистік емес белгілермен бірдей хабарламаға қол қою арқылы мультисигті тексеру процесін айналып өте аламыз. Осылайша, біз бір жеке кілт арқылы бір хабарлама үшін көптеген жарамды әр түрлі қолтаңбаларды жасай аламыз».
Киберқауіпсіздік тобының айтуынша, Tron қол қоюшылардың бірегей екенін тексерудің орнына қолтаңбалардың бірегей болуын қамтамасыз етеді. Осыған байланысты қол қоюшылар ықтимал «қос дауыс беру» немесе екі рет қол қоюы мүмкін. dWallet Labs бас директоры Омер Садика түзету оңай екенін айтты: қолдар санының орнына мекенжайды тексеріңіз.
Зерттеушілер осалдық туралы Tron-қа ақпан айында және одан кейін бекітілген күндерде хабарланғанын атап өтті.
Қатысты: Джастин Сун Sui LaunchPool Binance бас директорымен қақтығысқаннан кейін кешірім сұрады
Cointelegraph түсініктеме алу үшін Тронға хабарласты, бірақ жауап алмады.
Басқа жаңалықтарда, жақында басқа орталықтандырылмаған қаржы хаттамасы 7.5 миллион долларлық эксплуатацияға ұшырады. 28 мамырда блокчейндік қауіпсіздік фирмасы PeckShield Arbitrum негізіндегі Jimbos протоколы бұзылып, нәтижесінде 4,000 эфир (ETH) жоғалғанын хабарлады.
Журнал: АҚШ пен Қытай SBF-тің 40 миллион доллар пара талап еткен Binance-ті басып тастауға тырысады
Дереккөз: https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team