dWallet Labs araştırma takımı, Tron multisig hesaplarında bir saldırganın çoklu imza sistemini atlamasına imkan tanıyan güvenlik açığı keşfetti.
Araştırma takımı mevzu ile ilgili paylaştığı gönderide, güvenlik açığının Tron multisig hesaplarında tutulan 500 milyon dolarlık varlığı etkileyebileceğini söyledi. İsminden da anlaşılacağı üzere çoklu imza cüzdanları (multisig), süreçleri onaylamak ve fonları taşımak için bir hesapta tanımlanmış birden fazla imzayı gerektirir. Hesabı imzalayan her kişi kendi anahtarına sahiptir ve hesap, süreçleri onaylamak için muhakkak bir hudut gerektirir.
Tron Sorunu Düzeltmekte Geç Kaldı
Araştırma grubuna nazaran, Tron multisig cüzdanlarındaki güvenlik açığı sayısız geçerli imzanın oluşturulmasına müsaade veriyor.
Araştırma grubu mevzu ile ilgili paylaştığı gönderide: “Aynı iletisi kendi seçtiğimiz deterministik olmayan nonces’larla imzalayarak multisig doğrulama sürecini atlatabiliriz. Bunu yaparak, birebir özel anahtarla tıpkı bildiri için birçok geçerli farklı imza oluşturabileceğiz” tabirlerini kullandı.
Siber güvenlik takımına nazaran Tron, imzalayanların farklı bireyler olup olmadığını denetim etmek yerine imzaların eşsiz olmasını sağlıyor. Bu nedenle, imzalayanlar potansiyel olarak ikili oylama yapabiliyor ve iki defa imza imzalayabiliyorlar.
Araştırmacılar, güvenlik açığının Şubat ayında Tron’a bildirildiğini ve günler sonra düzeltildiğini belirtti.
