dWallet Labs-ийн судалгааны баг Tron multisig дансны XNUMX өдрийн эмзэг байдлыг илрүүлж, халдагчид олон гарын үсгийн механизмыг алгасаж, нэг гарын үсгээр гүйлгээнд гарын үсэг зурах боломжийг олгодог.
Техникийн задралын нийтлэлд судалгааны баг энэ эмзэг байдал нь Tron multisig дансанд хадгалагдаж буй 500 сая долларын хөрөнгөд нөлөөлж болзошгүй гэж мэдэгджээ. Учир нь энэ нь ямар ч гарын үсэг зурсан хүнд "TRON-ийн санал болгож буй олон талт нууцлалыг бүрэн даван туулах" боломжийг олгодог.
0d, манай супер од кибер аюулгүй байдлын судалгааны баг TRON multisig дансанд 500 сая долларын дижитал хөрөнгийг эрсдэлд оруулж буй эмзэг байдлыг олж илрүүлсэн бөгөөд үүнийг илрүүлж, засч залруулсан тул эрсдэлд орсон хэрэглэгчийн хөрөнгө байхгүй.
Техникийн задаргаа:https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) 30 болтугай 2023
Нэрнээс нь харахад олон гарын үсгийн түрийвч нь гүйлгээг батлах, мөнгө шилжүүлэхийн тулд дансанд тодорхойлсон олон гарын үсэг зурагчийг шаарддаг бөгөөд ингэснээр криптод хамтарсан данс үүсгэх боломжийг олгодог. Бүртгэлд гарын үсэг зурсан хүн бүр өөрийн гэсэн түлхүүрийг эзэмшдэг бөгөөд данс нь гүйлгээг батлахад тодорхой босго шаарддаг.
Судалгааны багийн үзэж байгаагаар Tron-ийн multisig-ийн эмзэг байдал нь олон хүчинтэй гарын үсэг үүсгэх боломжийг олгодог. Тэд бичсэн:
"Бид өөрсдийн сонгосон тодорхой бус утга бүхий ижил зурваст гарын үсэг зурснаар multisig баталгаажуулалтын үйл явцыг тойрч гарах боломжтой. Ингэснээр бид ижил нууц түлхүүрээр нэг мессежэнд олон хүчинтэй өөр гарын үсэг үүсгэх боломжтой болно."
Кибер аюулгүй байдлын багийн мэдээлснээр Tron гарын үсэг зурсан хүмүүс өвөрмөц эсэхийг шалгахын оронд гарын үсэг нь өвөрмөц эсэхийг баталгаажуулдаг. Үүний улмаас гарын үсэг зурсан хүмүүс "давхар санал өгөх" эсвэл хоёр удаа гарын үсэг зурах боломжтой. dWallet Labs-ийн Гүйцэтгэх захирал Омер Садика үүнийг засах нь энгийн: гарын үсгийн тоог биш, хаягийг баталгаажуулна гэж хэлсэн.
Судлаачид энэ эмзэг байдлын талаар Tron-д XNUMX-р сард мэдээлсэн бөгөөд хэд хоногийн дараа тогтоогдсон гэж тэмдэглэжээ.
Холбогдох: Sui LaunchPool Binance гүйцэтгэх захиралтай зөрчилдсөний дараа Жастин Сун уучлалт гуйв
Cointelegraph Tron-д хандсан боловч хариу ирүүлээгүй.
Өөр нэг мэдээгээр, төвлөрсөн бус санхүүгийн өөр нэг протокол саяхан 7.5 сая долларын мөлжлөгт өртсөн. 28-р сарын 4,000-нд блокчейн аюулгүй байдлын фирм PeckShield Arbitrum-д суурилсан Jimbos Protocol-ийг хакердуулж, XNUMX Ether (ETH) алдсан гэж мэдээлэв.
сэтгүүл: АНУ, Хятад хоёр SBF-ийн 40 сая долларын хахуулийн нэхэмжлэлийг шаардсан Binance-ыг дарах гэж оролдож байна
Эх сурвалж: https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team