dWallet Labs'ın araştırma ekibi, Tron çoklu imza hesaplarında ciddi bir güvenlik açığı buldu. Bu açık, bir saldırganın çoklu imza güvenlik adımlarını atlayarak tek bir imza ile işlemler yapmasına olanak sağlıyor. Bu durum, Tron çoklu imza hesaplarında saklanan yaklaşık 500 milyon dolarlık varlığı riske atabilir.

Çoklu imza cüzdanları, bir hesapta belirli sayıda imzacının işlemleri onaylamasını gerekiyor, bu da daha yüksek bir güvenlik sunuyor. Ancak araştırmacılar, Tron'un sistemini atlamak için birden fazla geçerli imza oluşturmanın mümkün olduğunu belirtti.

Güvenlik açığı, kullanıcı imzalarının benzersiz olup olmadığını kontrol etmek yerine, Tron'un imzaların benzersiz olmasını sağladığını gösteriyor. Bu durum, bir imzacının iki kez imza atarak sistemden faydalanmasına olanak sağlıyor. Ancak, dWallet Labs CEO'su Omer Sadika, bu sorunun çözümünün basit olduğunu belirtti: İmza sayısını kontrol etmek yerine adresi doğrulamak gerekiyor.

Aynı mesajı kendi seçtiğimiz deterministik olmayan nonce'larla imzalayarak multisig doğrulama sürecini atlatabiliriz. Bunu yaparak, aynı özel anahtarla aynı mesaj için birçok geçerli farklı imza oluşturabiliriz.
Sadika güvenlik açığını bir başlıkta tartıştı. Kaynak: Twitter

İlginizi çekebilir: Sui Blockchain, kritik hatanın eşiğinden döndü

Araştırmacılar, güvenlik açığının Şubat ayında Tron'a bildirildiğini ve günler sonra düzeltildiğini kaydetti. Cointelegraph, konuya ilişkin Tron'dan yorum almak istedi. Ancak, haberin yazımı itibariyle henüz Tron tarafından bir açıklama gelmedi.