dWallet Labs 的一个研究团队在 Tron 多重签名账户中发现了一个零日漏洞,允许攻击者绕过多重签名机制并使用单一签名签署交易。
在技术故障帖子中,研究团队表示,该漏洞可能影响了 Tron 多重签名账户中持有的 500 亿美元资产。 这是因为它允许任何签名者“完全克服 TRON 提供的多重签名安全性”。
0d,我们的超级明星网络安全研究团队,发现了 TRON 多重签名账户中的一个漏洞,使超过 500 亿美元的数字资产面临风险——该漏洞已被披露并修复,因此现在没有用户资产处于风险之中。
技术细分:https://t.co/nMj6kV6Oc3
— dWallet 实验室 (@dWalletLabs) 2023 年 5 月 30 日
顾名思义,多重签名钱包需要在一个账户中定义多个签名者来批准交易和转移资金,从而允许在加密中创建联合账户。 每个帐户签名者都持有自己的密钥,并且帐户需要一定的门槛才能批准交易。
据研究团队称,Tron 的多重签名漏洞允许生成许多有效签名。 他们写:
“我们可以通过使用我们选择的非确定性随机数签署相同的消息来绕过多重签名验证过程。 通过这样做,我们将能够通过相同的私钥为相同的消息生成许多有效的不同签名。”
根据网络安全团队的说法,Tron 确保签名是唯一的,而不是检查签名者是否是唯一的。 因此,签名者可能会“重复投票”或签名两次。 dWallet Labs 首席执行官 Omer Sadika 表示,解决方法很简单:验证地址而不是签名数量。
研究人员指出,该漏洞是在 XNUMX 月份向 Tron 报告的,并在几天后得到修复。
相关新闻: 孙宇晨在 Sui LaunchPool 与币安 CEO 发生冲突后道歉
Cointelegraph 联系 Tron 征求意见,但没有收到回复。
在其他新闻中,另一个去中心化金融协议最近遭受了 7.5 万美元的攻击。 28 月 4,000 日,区块链安全公司 PeckShield 报告称,基于 Arbitrum 的 Jimbos 协议遭到黑客攻击,导致 XNUMX 以太(ETH)损失。
杂志: 美国和中国试图粉碎 Binance,SBF 的 40 万美元贿赂索赔
来源:https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team