安全研究人员最近披露了 TRON 区块链中的一个严重的零日漏洞,可能会使价值 500 亿美元的加密货币被盗。
该漏洞由 dWallet 实验室的 0d 研究团队发现,专门针对 TRON 区块链上的多重签名账户。
多重签名账户需要多个签名来授权交易。 然而,TRON 多重签名方法的缺陷允许与特定多重签名账户相关联的任何签名者独立访问该账户内的资金,而无需其他签名者的批准。
TRON 验证过程中的这种疏忽使攻击能够完全绕过区块链的多重签名安全性。
0d 研究团队成员 Omer Sadika 解释说:
“通过使用非确定性随机数对同一消息进行签名,可以绕过多重签名验证过程……简而言之,一个签名者可以为同一消息创建多个有效签名。”
这个严重漏洞的解决方案相对简单,因为现在根据地址列表检查签名,而不是仅仅依赖签名列表。
TRON 对多重签名安全漏洞的快速响应
0d 研究团队于 19 月 XNUMX 日通过 TRON 的漏洞赏金计划及时报告了该漏洞。TRON 在几天内迅速修复了该漏洞,研究人员确认大多数 TRON 验证者已经实施了必要的补丁。
在 Twitter 上的另一份声明中,研究人员强调,由于漏洞已成功解决,目前没有任何用户资产面临风险。
截至目前,TRON尚未就该事件发表公开声明。
最近的漏洞
最新进展恰逢在 Monero 区块链中发现了一个重大的隐私漏洞。 值得注意的是,门罗币漏洞在被发现并迅速解决之前的三年多时间里一直未在网络上被发现。
在对 DeFi 领域的又一次打击中,建立在 Arbitrum 网络上的 Jimbos 协议成为严重漏洞利用的受害者,导致损失 4,000 个以太币,相当于大约 7.5 百万美元.
最近的发展凸显了区块链技术中严格的安全措施和全面的审计流程的重要性。 快速识别和解决漏洞对于维护加密货币网络的安全性和完整性至关重要。
资料来源:https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/