شرکت امنیتی آسیب پذیری 500 میلیون دلاری را در حساب های Tron multisig کشف کرد

یک تیم تحقیقاتی در آزمایشگاه dWallet یک آسیب‌پذیری روز صفر را در حساب‌های Tron multisig کشف کرده‌اند که به مهاجم اجازه می‌دهد مکانیسم چند امضایی را دور بزند و تراکنش‌ها را با یک امضا امضا کند.

در یک پست تجزیه و تحلیل فنی، تیم تحقیقاتی گفت این آسیب پذیری می تواند 500 میلیون دلار در دارایی های نگهداری شده در حساب های Tron multisig را تحت تاثیر قرار دهد. این به این دلیل است که به هر امضا کننده اجازه می دهد "به طور کامل بر امنیت multisig ارائه شده توسط TRON غلبه کند."

0d، تیم تحقیقاتی فوق ستاره امنیت سایبری ما، آسیب‌پذیری را در حساب‌های TRON multisig کشف کرد که بیش از 500 میلیون دلار دارایی دیجیتال را در معرض خطر قرار می‌داد – افشا و رفع شد، بنابراین در حال حاضر هیچ دارایی کاربر در معرض خطر نیست.
یک نقص فنی: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) ممکن است 30، 2023

همانطور که از نام آن پیداست، کیف پول‌های چند امضایی برای تایید تراکنش‌ها و جابجایی وجوه نیاز به امضاکننده‌های متعددی دارند که در یک حساب تعریف شده‌اند و امکان ایجاد حساب‌های مشترک در رمزارز را فراهم می‌کنند. هر امضاکننده حساب کلیدهای خود را دارد و حساب به آستانه خاصی برای تأیید تراکنش ها نیاز دارد.

به گفته تیم تحقیقاتی، آسیب‌پذیری با multisig Tron امکان تولید بسیاری از امضاهای معتبر را فراهم می‌کند. آنها نوشتند:

«ما می‌توانیم با امضای همان پیام با علامت‌های غیر قطعی انتخابی، فرآیند تأیید چند علامتی را دور بزنیم. با انجام این کار، ما قادر خواهیم بود بسیاری از امضاهای معتبر مختلف را برای یک پیام توسط کلید خصوصی یکسان تولید کنیم."

به گفته تیم امنیت سایبری، ترون به جای اینکه بررسی کند امضاکنندگان منحصر به فرد هستند، اطمینان حاصل می کند که امضاها منحصر به فرد هستند. به همین دلیل، امضاکنندگان به طور بالقوه می توانند «دوبار رأی دهند» یا دو بار امضا کنند. Omer Sadika، مدیر عامل dWallet Labs، گفت که راه حل ساده است: به جای تعداد امضا، آدرس را تأیید کنید.

*سادیکا در مورد آسیب پذیری در یک موضوع بحث کرد. منبع: توییتر*

محققان خاطرنشان کردند که این آسیب‌پذیری در ماه فوریه به Tron گزارش شد و چند روز پس از آن برطرف شد.

مرتبط: جاستین سان پس از درگیری Sui LaunchPool با مدیر عامل Binance عذرخواهی کرد

Cointelegraph برای نظرات با Tron تماس گرفت اما پاسخی دریافت نکرد.

در اخبار دیگر، یک پروتکل مالی غیرمتمرکز اخیراً 7.5 میلیون دلار مورد سوء استفاده قرار گرفت. در 28 می، شرکت امنیتی بلاک چین PeckShield گزارش داد که پروتکل Jimbos مبتنی بر Arbitrum هک شده است که منجر به از دست رفتن 4,000 اتر (ETH) شده است.

مجله: ایالات متحده و چین تلاش می کنند بایننس، ادعای رشوه 40 میلیون دلاری SBF را سرکوب کنند

منبع: https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team