dWallet Labs-ის მკვლევარმა ჯგუფმა აღმოაჩინა ნულოვანი დღის დაუცველობა Tron multisig ანგარიშებში, რაც საშუალებას აძლევს თავდამსხმელს გვერდის ავლით მრავალხელმოწერის მექანიზმი და მოაწეროს ტრანზაქცია ერთი ხელმოწერით.
ტექნიკური ავარიის პოსტში, მკვლევარმა ჯგუფმა თქვა, რომ დაუცველობამ შეიძლება გავლენა მოახდინოს 500 მილიონი აშშ დოლარის აქტივებზე, რომლებიც ინახება Tron multisig ანგარიშებზე. ეს იმიტომ ხდება, რომ ეს საშუალებას აძლევს ნებისმიერ ხელმომწერს „სრულიად გადალახოს TRON-ის მიერ შემოთავაზებული მრავალმნიშვნელოვანი უსაფრთხოება“.
0d, კიბერუსაფრთხოების ჩვენმა სუპერვარსკვლავმა კვლევითმა ჯგუფმა, აღმოაჩინა დაუცველობა TRON multisig ანგარიშებში, რაც საფრთხეს უქმნის 500 მილიონ დოლარზე მეტ ციფრულ აქტივებს – ის გამჟღავნდა და დაფიქსირდა, ასე რომ ახლა მომხმარებლის აქტივები არ არის რისკის ქვეშ.
ტექნიკური ავარია: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) შეიძლება 30, 2023
როგორც მისი სახელი გვთავაზობს, მრავალხელმოწერის საფულეს ესაჭიროება ანგარიშში განსაზღვრული რამდენიმე ხელმომწერი, რათა დაამტკიცონ ტრანზაქციები და გადაიტანონ სახსრები, რაც საშუალებას აძლევს შექმნას ერთობლივი ანგარიშები კრიპტოში. თითოეული ანგარიშის ხელმომწერი ფლობს საკუთარ გასაღებს და ანგარიში მოითხოვს გარკვეულ ბარიერს ტრანზაქციის დასამტკიცებლად.
მკვლევარების ჯგუფის თანახმად, დაუცველობა Tron's multisig-ით მრავალი მოქმედი ხელმოწერის გენერირების საშუალებას იძლევა. Მათ დაწერეს:
„ჩვენ შეგვიძლია გვერდის ავლით გადავამოწმოთ მულტისიგების გადამოწმების პროცესი იმავე გზავნილის ხელმოწერით ჩვენი არჩევანის არადეტერმინისტულ ნორმებთან. ამით ჩვენ შევძლებთ ერთიდაიგივე პირადი გასაღებით ერთი და იმავე შეტყობინებისთვის მრავალი მოქმედი სხვადასხვა ხელმოწერის გენერირებას.
კიბერუსაფრთხოების ჯგუფის თანახმად, ტრონი უზრუნველყოფს ხელმოწერების უნიკალურობას იმის ნაცვლად, რომ შეამოწმოს ხელმომწერები უნიკალურია. ამის გამო, ხელმომწერებს შეუძლიათ პოტენციურად „გაორმაგდეს ხმა“ ან ხელი მოაწერონ ორჯერ. ომერ სადიკამ, dWallet Labs-ის აღმასრულებელმა დირექტორმა, თქვა, რომ შესწორება მარტივია: ხელმოწერების რაოდენობის ნაცვლად, გადაამოწმეთ მისამართი.
მკვლევარებმა აღნიშნეს, რომ დაუცველობა ტრონს ეცნობა თებერვალში და დაფიქსირდა რამდენიმე დღის შემდეგ.
ამავე თემაზე: ჯასტინ სუნი ბოდიშს იხდის Sui LaunchPool-ის შეტაკების შემდეგ Binance-ის აღმასრულებელ დირექტორთან
Cointelegraph-მა კომენტარისთვის მიმართა ტრონს, მაგრამ პასუხი არ მიუღია.
სხვა ამბებში, ახლახანს კიდევ ერთი დეცენტრალიზებული ფინანსური პროტოკოლი განიცადა 7.5 მილიონი დოლარის ექსპლუატაცია. 28 მაისს, ბლოკჩეინის უსაფრთხოების ფირმა PeckShield-მა განაცხადა, რომ Arbitrum-ზე დაფუძნებული Jimbos პროტოკოლი გატეხეს, რის შედეგადაც დაიკარგა 4,000 ეთერი (ETH).
ჟურნალი: აშშ და ჩინეთი ცდილობენ გაანადგურონ Binance, SBF-ის 40 მილიონი დოლარის ქრთამის მოთხოვნა
წყარო: https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team