dWallet Labs の研究チームは、Tron マルチシグ アカウントにゼロデイ脆弱性を発見しました。これにより、攻撃者がマルチシグネチャ メカニズムをバイパスし、単一の署名でトランザクションに署名できるようになります。
研究チームは技術的な詳細の投稿で、この脆弱性がTronマルチシグアカウントに保有されている資産の500億ドルに影響を与えた可能性があると述べた。 これは、どの署名者でも「TRON が提供するマルチシグ セキュリティを完全に克服」できるためです。
当社のスーパースター サイバーセキュリティ研究チームである 0d は、500 億ドルを超えるデジタル資産を危険にさらす TRON マルチシグ アカウントの脆弱性を発見しました。この脆弱性は公開され修正されたため、現在はユーザー資産が危険にさらされていません。
技術的な内訳:https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) 2023 年 5 月 30 日
その名前が示すように、マルチシグネチャーウォレットでは、取引を承認して資金を移動するためにアカウントに定義された複数の署名者が必要であり、暗号通貨での共同アカウントの作成が可能になります。 各アカウント署名者は独自のキーを保持しており、アカウントにはトランザクションを承認するために特定のしきい値が必要です。
研究チームによると、Tron のマルチシグの脆弱性により、多くの有効な署名が生成される可能性があります。 彼らが書きました:
「選択した非決定的なノンスで同じメッセージに署名することで、マルチシグ検証プロセスをバイパスできます。 そうすることで、同じ秘密鍵を使用して、同じメッセージに対して多くの有効な異なる署名を生成できるようになります。」
サイバーセキュリティチームによると、Tron は署名者が一意であるかどうかを確認するのではなく、署名が一意であることを保証します。 このため、署名者は「二重投票」または XNUMX 回署名する可能性があります。 dWallet Labs の CEO、Omer Sadika 氏は、この修正は簡単で、署名の数ではなくアドレスを検証するだけだったと語った。
研究者らは、この脆弱性はXNUMX月にTronに報告され、その数日後に修正されたと指摘した。
関連する Sui LaunchPool が Binance CEO と衝突した後、Justin Sun が謝罪
コインテレグラフはトロンにコメントを求めたが、返答は得られなかった。
別のニュースとしては、別の分散型金融プロトコルが最近 7.5 万ドルの悪用被害に遭いました。 28月4,000日、ブロックチェーンセキュリティ会社PeckShieldは、ArbitrumベースのJimbos Protocolがハッキングされ、XNUMXイーサ(ETH)が損失したと報告した。
マガジン: 米国と中国はバイナンス、SBFの40万ドルの賄賂請求を潰そうとしている
出典: https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team