dWallet Labs'ın araştırma ekibi, Tron çoklu imza hesaplarında ciddi bir güvenlik açığı buldu. Bu açık, bir saldırganın çoklu imza güvenlik adımlarını atlayarak tek bir imza ile işlemler yapmasına olanak sağlıyor. Bu durum, Tron çoklu imza hesaplarında saklanan yaklaşık 500 milyon dolarlık varlığı riske atabilir.
Çoklu imza cüzdanları, bir hesapta belirli sayıda imzacının işlemleri onaylamasını gerekiyor, bu da daha yüksek bir güvenlik sunuyor. Ancak araştırmacılar, Tron'un sistemini atlamak için birden fazla geçerli imza oluşturmanın mümkün olduğunu belirtti.
Süperstar siber güvenlik araştırma ekibimiz 0d, TRON multisig hesaplarında 500 milyon dolardan fazla dijital varlığı riske atan bir güvenlik açığı keşfetti - bu açık ifşa edildi ve düzeltildi, böylece artık risk altında hiçbir kullanıcı varlığı yok.
— dWallet Labs (@dWalletLabs) May 30, 2023
Teknik döküm:https://t.co/nMj6kV6Oc3
Güvenlik açığı, kullanıcı imzalarının benzersiz olup olmadığını kontrol etmek yerine, Tron'un imzaların benzersiz olmasını sağladığını gösteriyor. Bu durum, bir imzacının iki kez imza atarak sistemden faydalanmasına olanak sağlıyor. Ancak, dWallet Labs CEO'su Omer Sadika, bu sorunun çözümünün basit olduğunu belirtti: İmza sayısını kontrol etmek yerine adresi doğrulamak gerekiyor.
Aynı mesajı kendi seçtiğimiz deterministik olmayan nonce'larla imzalayarak multisig doğrulama sürecini atlatabiliriz. Bunu yaparak, aynı özel anahtarla aynı mesaj için birçok geçerli farklı imza oluşturabiliriz.
İlginizi çekebilir: Sui Blockchain, kritik hatanın eşiğinden döndü
Araştırmacılar, güvenlik açığının Şubat ayında Tron'a bildirildiğini ve günler sonra düzeltildiğini kaydetti. Cointelegraph, konuya ilişkin Tron'dan yorum almak istedi. Ancak, haberin yazımı itibariyle henüz Tron tarafından bir açıklama gelmedi.