dWallet Labs 的研究團隊在 Tron 多重簽名賬戶中發現了一個零日漏洞,允許攻擊者繞過多重簽名機制並使用單一簽名簽署交易。
在技術故障帖子中,研究團隊表示,該漏洞可能影響了 Tron 多重簽名賬戶中持有的 500 億美元資產。 這是因為它允許任何簽名者“完全克服 TRON 提供的多重簽名安全性”。
0d,我們的超級明星網絡安全研究團隊,發現了 TRON 多重簽名賬戶中的一個漏洞,使超過 500 億美元的數字資產面臨風險——該漏洞已被披露並修復,因此現在沒有用戶資產處於風險之中。
技術細分:https://t.co/nMj6kV6Oc3
— dWallet 實驗室 (@dWalletLabs) 2023 年 5 月 30 日
顧名思義,多重簽名錢包需要在一個賬戶中定義多個簽名者來批准交易和轉移資金,從而允許在加密中創建聯合賬戶。 每個帳戶簽名者都持有自己的密鑰,並且帳戶需要一定的門檻才能批准交易。
據研究團隊稱,Tron 的多重簽名漏洞允許生成許多有效簽名。 他們寫:
“我們可以通過使用我們選擇的非確定性隨機數簽署相同的消息來繞過多重簽名驗證過程。 通過這樣做,我們將能夠通過相同的私鑰為相同的消息生成許多有效的不同簽名。”
根據網絡安全團隊的說法,Tron 確保簽名是唯一的,而不是檢查簽名者是否是唯一的。 因此,簽名者可能會“重複投票”或簽名兩次。 dWallet Labs 首席執行官 Omer Sadika 表示,解決方法很簡單:驗證地址而不是簽名數量。
研究人員指出,該漏洞是在 XNUMX 月份向 Tron 報告的,並在幾天后得到修復。
相關新聞: 孫宇晨在 Sui LaunchPool 與幣安 CEO 發生衝突後道歉
Cointelegraph 聯繫 Tron 徵求意見,但沒有收到回复。
在其他新聞中,另一個去中心化金融協議最近遭受了 7.5 萬美元的攻擊。 28 月 4,000 日,區塊鏈安全公司 PeckShield 報告稱,基於 Arbitrum 的 Jimbos 協議遭到黑客攻擊,導致 XNUMX 以太(ETH)損失。
雜誌: 美國和中國試圖粉碎 Binance,SBF 的 40 萬美元賄賂索賠
來源:https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team