安全研究人員最近披露了 TRON 區塊鏈中的一個嚴重的零日漏洞,可能會使價值 500 億美元的加密貨幣被盜。
該漏洞由 dWallet 實驗室的 0d 研究團隊發現,專門針對 TRON 區塊鏈上的多重簽名賬戶。
多重簽名賬戶需要多個簽名來授權交易。 然而,TRON 多重簽名方法的缺陷允許與特定多重簽名賬戶相關聯的任何簽名者獨立訪問該賬戶內的資金,而無需其他簽名者的批准。
TRON 驗證過程中的這種疏忽使攻擊能夠完全繞過區塊鏈的多重簽名安全性。
0d 研究團隊成員 Omer Sadika 解釋說:
“通過使用非確定性隨機數對同一消息進行簽名,可以繞過多重簽名驗證過程……簡而言之,一個簽名者可以為同一消息創建多個有效簽名。”
這個嚴重漏洞的解決方案相對簡單,因為現在根據地址列表檢查簽名,而不是僅僅依賴簽名列表。
TRON 對多重簽名安全漏洞的快速響應
0d 研究團隊於 19 月 XNUMX 日通過 TRON 的漏洞賞金計劃及時報告了該漏洞。TRON 在幾天內迅速修復了該漏洞,研究人員確認大多數 TRON 驗證者已經實施了必要的補丁。
在 Twitter 上的另一份聲明中,研究人員強調,由於漏洞已成功解決,目前沒有任何用戶資產面臨風險。
截至目前,TRON尚未就該事件發表公開聲明。
最近的漏洞
最新進展恰逢在 Monero 區塊鏈中發現了一個重大的隱私漏洞。 值得注意的是,門羅幣漏洞在被發現並迅速解決之前的三年多時間裡一直未在網絡上被發現。
在對 DeFi 領域的又一次打擊中,建立在 Arbitrum 網絡上的 Jimbos 協議成為嚴重漏洞利用的受害者,導致損失 4,000 個以太幣,相當於大約 7.5億美元.
最近的發展凸顯了區塊鏈技術中嚴格的安全措施和全面的審計流程的重要性。 快速識別和解決漏洞對於維護加密貨幣網絡的安全性和完整性至關重要。
資料來源:https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/