Een onderzoeksteam van dWallet Labs heeft een zero-day kwetsbaarheid ontdekt in Tron multisig-accounts, waardoor een aanvaller het multisignature-mechanisme kan omzeilen en transacties kan ondertekenen met een enkele handtekening.
In een technische storingspost zei het onderzoeksteam dat de kwetsbaarheid $ 500 miljoen aan activa op Tron multisig-accounts had kunnen beïnvloeden. Dit komt omdat elke ondertekenaar hiermee "de multisig-beveiliging van TRON volledig kan omzeilen".
0d, ons superster-onderzoeksteam voor cyberbeveiliging, ontdekte een kwetsbaarheid in TRON-multisig-accounts die meer dan $ 500 miljoen aan digitale activa in gevaar bracht. Het werd onthuld en verholpen, dus er zijn nu geen gebruikersactiva meer in gevaar.
Een technische storing: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) 30 mei 2023
Zoals de naam al doet vermoeden, vereisen portefeuilles met meerdere handtekeningen meerdere ondertekenaars die in een account zijn gedefinieerd om transacties goed te keuren en geld te verplaatsen, waardoor gezamenlijke accounts in crypto kunnen worden aangemaakt. Elke accountondertekenaar heeft zijn eigen sleutels en de account vereist een bepaalde drempel voor het goedkeuren van transacties.
Volgens het onderzoeksteam maakt de kwetsbaarheid met Tron's multisig het mogelijk om veel geldige handtekeningen te genereren. Zij schreven:
“We kunnen het multisig-verificatieproces omzeilen door hetzelfde bericht te ondertekenen met niet-deterministische nonces van onze keuze. Door dit te doen, kunnen we veel geldige verschillende handtekeningen genereren voor hetzelfde bericht met dezelfde privésleutel.”
Volgens het cyberbeveiligingsteam zorgt Tron ervoor dat de handtekeningen uniek zijn in plaats van te controleren of de ondertekenaars uniek zijn. Hierdoor kunnen ondertekenaars mogelijk "dubbel stemmen" of tweemaal ondertekenen. Omer Sadika, de CEO van dWallet Labs, zei dat de oplossing eenvoudig was: verifieer het adres in plaats van het aantal handtekeningen.
De onderzoekers merkten op dat de kwetsbaarheid in februari en enkele dagen daarna aan Tron werd gemeld.
Zie ook: Justin Sun verontschuldigt zich nadat Sui LaunchPool botst met de CEO van Binance
Cointelegraph nam contact op met Tron voor commentaar, maar kreeg geen antwoord.
Ander nieuws: een ander gedecentraliseerd financieel protocol kreeg onlangs te maken met een exploit van $ 7.5 miljoen. Op 28 mei meldde blockchain-beveiligingsbedrijf PeckShield dat het op Arbitrum gebaseerde Jimbos-protocol was gehackt, wat resulteerde in het verlies van 4,000 Ether (ETH).
Magazine: De VS en China proberen Binance, de omkopingsclaim van 40 miljoen dollar van SBF, te verpletteren
Bron: https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team