Ошибка была исправлена, и никакие пользовательские активы не находятся под угрозой.
30 мая исследователи безопасности обнаружили уязвимость в блокчейне TRON, которая ранее подвергала риску 500 миллионов долларов в криптовалюте.
** Подписавшая сторона могла получить доступ к учетной записи с несколькими подписями**
Критическая уязвимость нулевого дня в блокчейне TRON делает учетные записи с несколькими подписями уязвимыми для кражи, согласно исследовательской группе 0d в dWallet Labs.
Как следует из названия, учетные записи с несколькими подписями должны пройти несколько подписей, прежде чем транзакция может быть выполнена. Однако уязвимость, обнаруженная в TRON, позволяет любому подписанту, связанному с любой мультиподписной учетной записью, получить индивидуальный доступ к средствам на этой учетной записи.
Халатность TRON с его подходом с несколькими подписями означает, что его процесс проверки не проверяет всю необходимую информацию. По словам исследователей 0d, этот тип атаки «полностью преодолеет» мультиподписную безопасность TRON.
Член команды Омер Садика написал:
«...процесс проверки мультиподписи можно было обойти, подписав одно и то же сообщение, используя недетерминированное случайное число... Короче говоря, один подписывающий мог создать несколько действительных подписей для одного и того же сообщения».
По мнению исследователей, решение этой проблемы простое. Подписи теперь проверяются по списку адресов, а не только по списку подписей.
Об уязвимости сообщалось в феврале
Исследовательская группа 0d заявила, что сообщила о проблеме через программу TRON Bug Bounty 19 февраля. Команда добавила, что TRON исправила уязвимость в течение нескольких дней, и они заявили, что большинство валидаторов TRON теперь исправлены.
В отдельном заявлении в Twitter исследователи подчеркнули, что теперь, когда уязвимость устранена, «никакие пользовательские активы не находятся под угрозой».
TRON еще не опубликовал публичного заявления.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
TRON избегает мультиподписной уязвимости стоимостью 500 миллионов долларов
Ошибка была исправлена, и никакие пользовательские активы не находятся под угрозой.
30 мая исследователи безопасности обнаружили уязвимость в блокчейне TRON, которая ранее подвергала риску 500 миллионов долларов в криптовалюте.
** Подписавшая сторона могла получить доступ к учетной записи с несколькими подписями**
Критическая уязвимость нулевого дня в блокчейне TRON делает учетные записи с несколькими подписями уязвимыми для кражи, согласно исследовательской группе 0d в dWallet Labs.
Как следует из названия, учетные записи с несколькими подписями должны пройти несколько подписей, прежде чем транзакция может быть выполнена. Однако уязвимость, обнаруженная в TRON, позволяет любому подписанту, связанному с любой мультиподписной учетной записью, получить индивидуальный доступ к средствам на этой учетной записи.
Халатность TRON с его подходом с несколькими подписями означает, что его процесс проверки не проверяет всю необходимую информацию. По словам исследователей 0d, этот тип атаки «полностью преодолеет» мультиподписную безопасность TRON.
Член команды Омер Садика написал:
«...процесс проверки мультиподписи можно было обойти, подписав одно и то же сообщение, используя недетерминированное случайное число... Короче говоря, один подписывающий мог создать несколько действительных подписей для одного и того же сообщения».
По мнению исследователей, решение этой проблемы простое. Подписи теперь проверяются по списку адресов, а не только по списку подписей.
Об уязвимости сообщалось в феврале
Исследовательская группа 0d заявила, что сообщила о проблеме через программу TRON Bug Bounty 19 февраля. Команда добавила, что TRON исправила уязвимость в течение нескольких дней, и они заявили, что большинство валидаторов TRON теперь исправлены.
В отдельном заявлении в Twitter исследователи подчеркнули, что теперь, когда уязвимость устранена, «никакие пользовательские активы не находятся под угрозой».
TRON еще не опубликовал публичного заявления.