كشف باحثو الأمن عن ثغرة أمنية في TRON blockchain في 30 مايو والتي كانت تعرض 500 مليون دولار من العملات المشفرة للخطر.
يمكن لأحد الموقعين الوصول إلى حسابات mulitisig
قال فريق البحث 0d في dWallet labs أن ثغرة خطيرة في يوم الصفر في blockchain TRON تركت حسابات multisig مفتوحة للسرقة.
يجب توقيع حسابات متعددة التوقيعات من خلال توقيعات متعددة قبل تنفيذ أي معاملة ، كما يوحي الاسم. ومع ذلك ، فإن الثغرة الموجودة في TRON كانت ستسمح لأي موقع مرتبط بأي حساب multisig معين بالوصول بمفرده إلى الأموال داخل هذا الحساب.
أدت عمليات المراقبة في نهج TRON إلى multisig إلى أن عملية التحقق الخاصة بها لم تتحقق من جميع المعلومات الضرورية. وفقًا لباحثي 0d ، كان من الممكن أن "يتغلب هذا الخط من الهجوم تمامًا" على نظام TRON المتعدد المهام.
عضو الفريق عمر صديقة كتب:
"... [كان من الممكن] تجاوز عملية التحقق المتعدد التوقيع من خلال توقيع نفس الرسالة باستخدام أرقام غير حتمية ... ببساطة ، يمكن لأحد الموقِّعين إنشاء عدة توقيعات صالحة للرسالة نفسها."
كان حل هذه المشكلة بسيطًا ، وفقًا للباحثين. يتم الآن فحص التواقيع مقابل قائمة العناوين ، وليس فقط قائمة التوقيعات.
تم الإبلاغ عن الضعف في فبراير
قال فريق البحث 0d إنهم أبلغوا عن المشكلة عبر برنامج مكافأة الأخطاء الخاص بـ TRON في 19 فبراير. وأضاف الفريق أن TRON قد أصلحت الثغرة الأمنية في أيام ، وقالوا إن معظم أدوات التحقق من TRON قد تم تصحيحها الآن.
أكد الباحثون في بيان منفصل على Twitter أنه "لا توجد أصول مستخدم معرضة للخطر" الآن بعد أن تم إصلاح الثغرة الأمنية.
لم تصدر TRON بعد بيانها العام.
ظهر المنشور الذي تجنب ترون ثغرة أمنية متعددة المواقع بقيمة 500 مليون دولار لأول مرة على CryptoSlate.
المصدر: https://cryptoslate.com/tron-avoided-500m-multisig-vulnerability/