TRON از آسیب پذیری 500 میلیون دلاری multisig جلوگیری کرد

محققان امنیتی در 30 می آسیب‌پذیری را در بلاک چین TRON فاش کردند که قبلاً 500 میلیون دلار ارز دیجیتال را در معرض خطر قرار می‌داد.

یک امضاکننده می توانست به حساب های mulitisig دسترسی داشته باشد

تیم تحقیقاتی 0d در آزمایشگاه‌های dWallet گفت که یک آسیب‌پذیری حیاتی روز صفر در بلاک چین TRON حساب‌های مولتی سیگ را در معرض سرقت قرار داده است.

همانطور که از نام آن پیداست، حساب‌های چند علامتی باید قبل از انجام تراکنش با چندین امضا امضا شوند. با این حال، آسیب‌پذیری یافت شده در TRON به هر امضاکننده مرتبط با هر حساب مولتی سیگ داده شده اجازه می‌دهد تا به تنهایی به وجوه درون آن حساب دسترسی داشته باشد.

نادیده گرفتن رویکرد TRON به multisig به این معنی است که فرآیند تأیید آن تمام اطلاعات لازم را تأیید نمی کند. به گفته محققان 0d، این خط حمله می توانست بر امنیت چند علامتی TRON "کاملا غلبه کند".

عضو تیم عمر سادیکا نوشت:

«… فرآیند تأیید چند علامتی [می‌توانست] با امضای یک پیام با nonces غیر قطعی دور زده شود... به زبان ساده، یک امضاکننده می‌تواند چندین امضای معتبر برای یک پیام ایجاد کند.»

به گفته محققان راه حل این مشکل ساده بود. اکنون امضاها با فهرستی از آدرس‌ها بررسی می‌شوند، نه فقط فهرستی از امضاها.

آسیب پذیری در ماه فوریه گزارش شد

تیم تحقیقاتی 0d گفت که آنها این مشکل را از طریق برنامه پاداش باگ TRON در 19 فوریه گزارش کردند. تیم اضافه کرد که TRON این آسیب‌پذیری را در چند روز اصلاح کرد و آنها گفتند که اکثر اعتبارسنجی‌های TRON اکنون وصله شده‌اند.

محققان در بیانیه‌ای جداگانه در توییتر تأکید کردند که اکنون که این آسیب‌پذیری برطرف شده است، «هیچ دارایی کاربر در معرض خطر نیست».

TRON هنوز بیانیه عمومی خود را صادر نکرده است.

پست TRON از آسیب پذیری 500 میلیون دلاری multisig اجتناب کرد اولین بار در CryptoSlate ظاهر شد.

منبع: https://cryptoslate.com/tron-avoided-500m-multisig-vulnerability/