اكتشف فريق بحثي في dWallet Labs ثغرة يوم الصفر في حسابات Tron multisig ، مما يسمح للمهاجم بتجاوز آلية التوقيع المتعدد وتوقيع المعاملات بتوقيع واحد.
في منشور تفصيلي تقني ، قال فريق البحث إن الثغرة الأمنية يمكن أن تكون قد أثرت على 500 مليون دولار من الأصول الموجودة في حسابات Tron multisig. هذا لأنه يسمح لأي موقع "بالتغلب تمامًا على أمان multisig الذي توفره TRON."
0d ، اكتشف فريق أبحاث الأمن السيبراني الخارق لدينا ثغرة أمنية في حسابات TRON multisig تعرض أكثر من 500 مليون دولار من الأصول الرقمية للخطر - تم الكشف عنها وتم إصلاحها بحيث لا توجد أصول مستخدم معرضة للخطر الآن.
الانهيار الفني: https: //t.co/nMj6kV6Oc3
- مختبرات dWallet (dWalletLabs) 30 مايو 2023
كما يوحي اسمها ، تتطلب المحافظ متعددة التوقيع العديد من الموقعين المحددين في حساب للموافقة على المعاملات ونقل الأموال ، مما يسمح بإنشاء حسابات مشتركة في التشفير. يحتفظ كل موقع حساب بمفاتيحه الخاصة ويتطلب الحساب حدًا معينًا للموافقة على المعاملات.
وفقًا لفريق البحث ، فإن الثغرة الأمنية في نظام Tron's multisig تسمح بإنشاء العديد من التواقيع الصالحة. كتبوا:
"يمكننا تجاوز عملية تحقق multisig من خلال توقيع نفس الرسالة مع رموز غير حتمية من اختيارنا. من خلال القيام بذلك ، سنتمكن من إنشاء العديد من التواقيع المختلفة الصالحة لنفس الرسالة باستخدام نفس المفتاح الخاص ".
وفقًا لفريق الأمن السيبراني ، يضمن Tron أن تكون التوقيعات فريدة بدلاً من التحقق مما إذا كان الموقعون فريدون. لهذا السبب ، يمكن للموقِّعين "التصويت المزدوج" أو التوقيع مرتين. قال عمر صادقة ، الرئيس التنفيذي لشركة dWallet Labs ، إن الإصلاح كان بسيطًا: تحقق من العنوان بدلاً من عدد التوقيعات.
وأشار الباحثون إلى أنه تم الإبلاغ عن الثغرة الأمنية إلى ترون في فبراير وأيام ثابتة بعد ذلك.
هذا الموضوع ذو علاقة بـ: جاستن صن يصدر اعتذارًا بعد اشتباكات Sui LaunchPool مع الرئيس التنفيذي لشركة Binance
تواصل كوينتيليغراف مع ترون للتعليقات لكنه لم يتلق ردًا.
في أنباء أخرى ، عانى بروتوكول مالي لامركزي آخر مؤخرًا من استغلال بقيمة 7.5 مليون دولار. في 28 مايو ، أفادت شركة PeckShield لأمن blockchain أنه تم اختراق بروتوكول Jimbos القائم على Arbitrum ، مما أدى إلى فقدان 4,000 إيثر (ETH).
مجلة: تحاول الولايات المتحدة والصين سحق Binance ، مطالبة SBF بالرشوة البالغة 40 مليون دولار
المصدر: https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team