安全研究人员于 30 月 500 日披露了 TRON 区块链中的一个漏洞,该漏洞此前曾导致 XNUMX 亿美元的加密货币面临风险。
一名签名者可以访问多个签名帐户
dWallet 实验室的 0d 研究团队表示,TRON 区块链中的一个严重的零日漏洞导致多重签名账户容易被盗。
顾名思义,多重签名账户在执行交易之前必须经过多个签名。 然而,TRON 中发现的漏洞将允许与任何给定多重签名帐户关联的任何签名者单独访问该帐户内的资金。
对 TRON 多重签名方法的监督意味着其验证过程并未验证所有必要的信息。 0d 研究人员表示,这种攻击方式将“完全克服”TRON 的多重签名安全性。
团队成员奥马尔·萨迪卡 写:
“……通过使用非确定性随机数签署同一条消息,可以绕过多重签名验证过程……简单地说,一个签名者可以为同一条消息创建多个有效签名。”
研究人员表示,这个问题的解决方案很简单。 现在根据地址列表检查签名,而不仅仅是签名列表。
XNUMX月份报告了该漏洞
0d 研究团队表示,他们于 19 月 XNUMX 日通过 TRON 的漏洞赏金计划报告了该问题。该团队补充说,TRON 在几天内就修复了该漏洞,他们表示大多数 TRON 验证器现在都已修复。
研究人员在另一份 Twitter 声明中强调,既然漏洞已得到修复,“用户资产不会面临风险”。
TRON 尚未发表自己的公开声明。
TRON 避免了 500 亿美元多重签名漏洞的消息首先出现在 CryptoSlate 上。
来源:https://cryptoslate.com/tron-avoided-500m-multisig-vulnerability/