TRON tránh được thiệt hại 500 triệu USD vì lỗ hổng multisig
Các nhà nghiên cứu bảo mật đã tiết lộ một lỗ hổng trong blockchain TRON vào ngày 30 tháng 5, lỗ hổng trước đó đã khiến 500 triệu USD tiền điện tử gặp rủi ro.
Một người ký có thể đã truy cập tài khoản mulitisig
Nhóm nghiên cứu 0d tại phòng thí nghiệm dWallet cho biết lỗ hổng zero-day nghiêm trọng trong blockchain TRON khiến các tài khoản multisig dễ bị đánh cắp.
Tài khoản multisig phải được ký bằng nhiều chữ ký trước khi thực hiện giao dịch. Tuy nhiên, lỗ hổng được tìm thấy trong TRON sẽ cho phép bất kỳ người ký nào được liên kết với bất kỳ tài khoản nhiều chữ ký cụ thể nào đều có thể truy cập một tay vào các khoản tiền trong tài khoản đó.
Giám sát trong cách tiếp cận của TRON đối với multisig có nghĩa là quy trình xác minh của nó đã không xác minh tất cả thông tin cần thiết. Theo các nhà nghiên cứu của 0d, dòng tấn công này sẽ “vượt qua hoàn toàn” bảo mật đa chữ ký của TRON.
Thành viên đội ngũ Omer Sadika đã viết:
” … Quá trình xác minh nhiều chữ ký [có thể đã] bị bỏ qua bằng cách ký vào cùng một thông báo bằng các chữ ký không xác định…Nói một cách đơn giản, một người ký có thể tạo nhiều chữ ký hợp lệ cho cùng một thông báo.”
Theo các nhà nghiên cứu, giải pháp cho vấn đề này rất đơn giản. Chữ ký hiện được kiểm tra dựa trên danh sách địa chỉ, không chỉ danh sách chữ ký.
Lỗ hổng bảo mật được báo cáo vào tháng 2
Nhóm nghiên cứu 0d cho biết họ đã báo cáo vấn đề thông qua chương trình tiền thưởng lỗi của TRON vào ngày 19 tháng 2.
Đội ngũ nói thêm rằng TRON đã vá lỗ hổng trong vài ngày và họ nói rằng hầu hết các trình xác nhận TRON hiện đã được vá.
Các nhà nghiên cứu đã nhấn mạnh trong một tuyên bố riêng trên Twitter rằng “không có tài sản nào của người dùng gặp rủi ro” khi lỗ hổng đã được khắc phục.
TRON vẫn chưa đưa ra tuyên bố công khai của riêng mình.
Tin Tức Bitcoin tổng hợp.
