محققان امنیتی در 30 می آسیبپذیری را در بلاک چین TRON فاش کردند که قبلاً 500 میلیون دلار ارز دیجیتال را در معرض خطر قرار میداد.
یک امضاکننده می توانست به حساب های mulitisig دسترسی داشته باشد
تیم تحقیقاتی 0d در آزمایشگاههای dWallet گفت که یک آسیبپذیری حیاتی روز صفر در بلاک چین TRON حسابهای مولتی سیگ را در معرض سرقت قرار داده است.
همانطور که از نام آن پیداست، حسابهای چند علامتی باید قبل از انجام تراکنش با چندین امضا امضا شوند. با این حال، آسیبپذیری یافت شده در TRON به هر امضاکننده مرتبط با هر حساب مولتی سیگ داده شده اجازه میدهد تا به تنهایی به وجوه درون آن حساب دسترسی داشته باشد.
نادیده گرفتن رویکرد TRON به multisig به این معنی است که فرآیند تأیید آن تمام اطلاعات لازم را تأیید نمی کند. به گفته محققان 0d، این خط حمله می توانست بر امنیت چند علامتی TRON "کاملا غلبه کند".
عضو تیم عمر سادیکا نوشت:
«… فرآیند تأیید چند علامتی [میتوانست] با امضای یک پیام با nonces غیر قطعی دور زده شود... به زبان ساده، یک امضاکننده میتواند چندین امضای معتبر برای یک پیام ایجاد کند.»
به گفته محققان راه حل این مشکل ساده بود. اکنون امضاها با فهرستی از آدرسها بررسی میشوند، نه فقط فهرستی از امضاها.
آسیب پذیری در ماه فوریه گزارش شد
تیم تحقیقاتی 0d گفت که آنها این مشکل را از طریق برنامه پاداش باگ TRON در 19 فوریه گزارش کردند. تیم اضافه کرد که TRON این آسیبپذیری را در چند روز اصلاح کرد و آنها گفتند که اکثر اعتبارسنجیهای TRON اکنون وصله شدهاند.
محققان در بیانیهای جداگانه در توییتر تأکید کردند که اکنون که این آسیبپذیری برطرف شده است، «هیچ دارایی کاربر در معرض خطر نیست».
TRON هنوز بیانیه عمومی خود را صادر نکرده است.
پست TRON از آسیب پذیری 500 میلیون دلاری multisig اجتناب کرد اولین بار در CryptoSlate ظاهر شد.
منبع: https://cryptoslate.com/tron-avoided-500m-multisig-vulnerability/