Forklog
2023-06-01 10:30:08

Эксперты dWallet Labs обнаружили в Tron уязвимость на $500 млн

Группа кибербезопасности 0d из dWallet Labs выявила в сети Tron критическую уязвимость механизма мультиподписи, которая затрагивала активы примерно на $500 млн. 0d, our superstar cybersecurity research team, discovered a vulnerability in TRON multisig accounts putting over $500M of digital assets at risk - it was disclosed and fixed so there are no user assets at risk now.A technical breakdown:https://t.co/nMj6kV6Oc3— dWallet Labs (@dWalletLabs) May 30, 2023 "Баг позволял любому подписанту (без учета веса) мультисиг-аккаунта полностью преодолеть установки безопасности Tron, независимо от порога и количества подписывающих сторон", — заявили исследователи. 19 февраля они связались с командой блокчейн-проекта через интерфейс баунти-программы. Разработчики сети "быстро признали наличие уязвимости" и внесли исправление в течение нескольких дней. Эксперты 0d получили вознаграждение за выявление проблемы высокой степени серьезности. Сумму они не озвучили. Исследователи пояснили, что используемый в Tron механизм проверки мультисиг-транзакций сопоставлял подписи со списком, чтобы избежать их двойного использования.  Однако злоумышленник мог генерировать случайные адреса для подписи помимо детерминированного. Это позволяло обойти защиту и получить достаточный вес для подтверждения операции. Уязвимость допускала еще один вектор атаки, который даже не требовал наличия каких-либо разрешений для кошелька. Злоумышленнику была необходима только транзакция, подписанная кем-то частично без достижения порога исполнения. Он мог реплицировать первую подпись, изменить значение recoveryId и произвести перевод. Под потенциальной угрозой оказались все активы в аккаунтах с мультиподписью в сети на сумму около $500 млн, подчеркнули в dWallet Labs. Внесенные командой Tron "за считанные дни" изменения в код ликвидировали уязвимость. Вместо проверки по списку подписей разработчики внедрили в механизм управления мультисиг-аккаунтами сопоставление по адресам сообщений. https://forklog.com/cryptorium/chto-takoe-multipodpis Напомним, в апреле стало известно, что разработчики протокола Ethermint из экосистемы Cosmos устранили критическую уязвимость, обнаруженную специалистами Jump Crypto. Баг угрожал потерей «восьмизначной суммы» в долларах.

Crypto 뉴스 레터 받기
면책 조항 읽기 : 본 웹 사이트, 하이퍼 링크 사이트, 관련 응용 프로그램, 포럼, 블로그, 소셜 미디어 계정 및 기타 플랫폼 (이하 "사이트")에 제공된 모든 콘텐츠는 제 3 자 출처에서 구입 한 일반적인 정보 용입니다. 우리는 정확성과 업데이트 성을 포함하여 우리의 콘텐츠와 관련하여 어떠한 종류의 보증도하지 않습니다. 우리가 제공하는 컨텐츠의 어떤 부분도 금융 조언, 법률 자문 또는 기타 용도에 대한 귀하의 특정 신뢰를위한 다른 형태의 조언을 구성하지 않습니다. 당사 콘텐츠의 사용 또는 의존은 전적으로 귀하의 책임과 재량에 달려 있습니다. 당신은 그들에게 의존하기 전에 우리 자신의 연구를 수행하고, 검토하고, 분석하고, 검증해야합니다. 거래는 큰 손실로 이어질 수있는 매우 위험한 활동이므로 결정을 내리기 전에 재무 고문에게 문의하십시오. 본 사이트의 어떠한 콘텐츠도 모집 또는 제공을 목적으로하지 않습니다.