O bug foi corrigido e nenhum ativo do usuário está em risco.
Pesquisadores de segurança divulgaram uma vulnerabilidade no blockchain TRON em 30 de maio que anteriormente colocava em risco US$ 500 milhões na criptomoeda.
Um signatário pode ter acessado uma conta com várias assinaturas
Uma vulnerabilidade crítica de dia zero no blockchain TRON torna as contas de assinatura múltipla vulneráveis a roubo, de acordo com a equipe de pesquisa 0d do dWallet Labs.
Como o nome sugere, as contas com várias assinaturas devem passar por várias assinaturas antes que uma transação possa ser executada. No entanto, uma vulnerabilidade descoberta no TRON permitiria que qualquer assinante associado a qualquer conta multisig acessasse individualmente os fundos dessa conta.
A negligência do TRON com sua abordagem de assinatura múltipla significa que seu processo de verificação não verifica todas as informações necessárias. De acordo com os pesquisadores da 0d, esse tipo de ataque "superaria completamente" a segurança de assinatura múltipla do TRON.
O membro da equipe Omer Sadika escreveu:
"...o processo de verificação de múltiplas assinaturas poderia ter sido contornado pela assinatura da mesma mensagem usando um número aleatório não determinístico...Resumindo, um único signatário poderia criar múltiplas assinaturas válidas para a mesma mensagem."
Segundo os pesquisadores, a solução para esse problema é simples. As assinaturas agora são verificadas em uma lista de endereços, não apenas uma lista de assinaturas.
Vulnerabilidade relatada em fevereiro
A equipe de pesquisa 0d disse que relatou o problema por meio do programa de recompensas de bugs do TRON em 19 de fevereiro. A equipe acrescentou que o TRON corrigiu a vulnerabilidade em alguns dias e afirmou que a maioria dos validadores do TRON agora está corrigida.
Em uma declaração separada no Twitter, os pesquisadores enfatizaram que “nenhum ativo do usuário está em risco” agora que a vulnerabilidade foi corrigida.
TRON ainda não emitiu uma declaração pública própria.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
TRON evita vulnerabilidade de assinatura múltipla de US$ 500 milhões
O bug foi corrigido e nenhum ativo do usuário está em risco.
Pesquisadores de segurança divulgaram uma vulnerabilidade no blockchain TRON em 30 de maio que anteriormente colocava em risco US$ 500 milhões na criptomoeda.
Um signatário pode ter acessado uma conta com várias assinaturas
Uma vulnerabilidade crítica de dia zero no blockchain TRON torna as contas de assinatura múltipla vulneráveis a roubo, de acordo com a equipe de pesquisa 0d do dWallet Labs.
Como o nome sugere, as contas com várias assinaturas devem passar por várias assinaturas antes que uma transação possa ser executada. No entanto, uma vulnerabilidade descoberta no TRON permitiria que qualquer assinante associado a qualquer conta multisig acessasse individualmente os fundos dessa conta.
A negligência do TRON com sua abordagem de assinatura múltipla significa que seu processo de verificação não verifica todas as informações necessárias. De acordo com os pesquisadores da 0d, esse tipo de ataque "superaria completamente" a segurança de assinatura múltipla do TRON.
O membro da equipe Omer Sadika escreveu:
"...o processo de verificação de múltiplas assinaturas poderia ter sido contornado pela assinatura da mesma mensagem usando um número aleatório não determinístico...Resumindo, um único signatário poderia criar múltiplas assinaturas válidas para a mesma mensagem."
Segundo os pesquisadores, a solução para esse problema é simples. As assinaturas agora são verificadas em uma lista de endereços, não apenas uma lista de assinaturas.
Vulnerabilidade relatada em fevereiro
A equipe de pesquisa 0d disse que relatou o problema por meio do programa de recompensas de bugs do TRON em 19 de fevereiro. A equipe acrescentou que o TRON corrigiu a vulnerabilidade em alguns dias e afirmou que a maioria dos validadores do TRON agora está corrigida.
Em uma declaração separada no Twitter, os pesquisadores enfatizaram que “nenhum ativo do usuário está em risco” agora que a vulnerabilidade foi corrigida.
TRON ainda não emitiu uma declaração pública própria.