dWallet Labs-ի հետազոտական թիմը հայտնաբերել է զրոյական օրվա խոցելիություն Tron multisig հաշիվներում, որը թույլ է տալիս հարձակվողին շրջանցել բազմաստորագրության մեխանիզմը և գործարքները ստորագրել մեկ ստորագրությամբ:
Տեխնիկական անսարքության գրառման մեջ հետազոտական թիմը ասաց, որ խոցելիությունը կարող էր ազդել Tron multisig հաշիվներում պահվող 500 միլիոն դոլարի ակտիվների վրա: Դա պայմանավորված է նրանով, որ այն թույլ է տալիս ցանկացած ստորագրողի «ամբողջությամբ հաղթահարել TRON-ի կողմից առաջարկվող բազմանշանակ անվտանգությունը»:
0d, կիբերանվտանգության մեր գերաստղերի հետազոտական թիմը, հայտնաբերել է խոցելիություն TRON multisig հաշիվներում, որը վտանգի տակ է դնում ավելի քան 500 մլն դոլար թվային ակտիվներ. այն բացահայտվել և շտկվել է, ուստի այժմ օգտատերերի ակտիվներ չկան:
Տեխնիկական անսարքություն՝ https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) Թող 30, 2023
Ինչպես ցույց է տալիս նրա անունը, բազմաստորագրային դրամապանակները պահանջում են մի քանի ստորագրողներ, որոնք սահմանված են հաշվում՝ գործարքները հաստատելու և դրամական միջոցներ տեղափոխելու համար, ինչը թույլ է տալիս ստեղծել համատեղ հաշիվներ կրիպտո տարբերակով: Յուրաքանչյուր հաշիվ ստորագրող ունի իր սեփական բանալիները, և հաշիվը պահանջում է գործարքների հաստատման որոշակի շեմ:
Հետազոտողների թիմի կարծիքով, Tron-ի մուլտիսիգի հետ կապված խոցելիությունը թույլ է տալիս ստեղծել բազմաթիվ վավեր ստորագրություններ: Նրանք գրել են.
«Մենք կարող ենք շրջանցել բազմանշանակ ստուգման գործընթացը՝ ստորագրելով նույն հաղորդագրությունը մեր ընտրած ոչ դետերմինիստական նիշերի հետ: Դրանով մենք կկարողանանք ստեղծել բազմաթիվ վավեր տարբեր ստորագրություններ նույն հաղորդագրության համար նույն մասնավոր բանալիով»:
Ըստ կիբերանվտանգության թիմի՝ Տրոնը երաշխավորում է, որ ստորագրությունները եզակի են՝ ստուգելու, թե արդյոք ստորագրողները եզակի են: Դրա պատճառով ստորագրողները կարող են «կրկնակի քվեարկել» կամ ստորագրել երկու անգամ: dWallet Labs-ի գործադիր տնօրեն Օմեր Սադիկան ասաց, որ շտկումը պարզ է. ստորագրությունների քանակի փոխարեն ստուգեք հասցեն:
Հետազոտողները նշել են, որ խոցելիության մասին հաղորդվել է Թրոնին փետրվարին և շտկվել օրեր անց:
Related: Ջասթին Սունը ներողություն է խնդրում Binance-ի գործադիր տնօրենի հետ Sui LaunchPool-ի բախումից հետո
Մեկնաբանությունների համար Cointelegraph-ը դիմեց Թրոնին, բայց պատասխան չստացավ:
Այլ նորությունների մեջ, մեկ այլ ապակենտրոնացված ֆինանսական արձանագրություն վերջերս տուժեց 7.5 միլիոն դոլարի շահագործումից: Մայիսի 28-ին բլոկչեյն անվտանգության PeckShield ընկերությունը հայտնել է, որ Arbitrum-ի վրա հիմնված Jimbos Protocol-ը կոտրվել է, ինչի հետևանքով կորցրել է 4,000 Եթեր (ETH):
Magazine. ԱՄՆ-ն և Չինաստանը փորձում են ջախջախել Binance-ը՝ SBF-ի 40 միլիոն դոլար կաշառքի պահանջը
Աղբյուր՝ https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team