Công ty bảo mật phát hiện lỗ hổng 500 triệu USD trong tài khoản đa chữ ký Tron
Sau khi báo cáo lỗ hổng cho Tron vào tháng 2, các nhà nghiên cứu nhấn mạnh rằng vấn đề đã được khắc phục và giải quyết nhanh chóng trong vòng vài ngày.
Một nhóm nghiên cứu tại dWallet Labs đã phát hiện ra lỗ hổng zero-day trong tài khoản đa chữ ký Tron, cho phép kẻ tấn công bỏ qua cơ chế đa chữ ký và ký các giao dịch bằng một chữ ký duy nhất.
Trong một bài phân tích kỹ thuật, nhóm nghiên cứu cho biết lỗ hổng này có thể đã ảnh hưởng đến 500 triệu USD tài sản được giữ trong các tài khoản đa chữ ký của Tron. Điều này là do nó cho phép bất kỳ người ký nào “vượt qua hoàn toàn bảo mật nhiều chữ ký do TRON cung cấp.”
0d, our superstar cybersecurity research team, discovered a vulnerability in TRON multisig accounts putting over $500M of digital assets at risk – it was disclosed and fixed so there are no user assets at risk now.
A technical breakdown:https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) May 30, 2023
Như tên gọi của nó, ví đa chữ ký yêu cầu nhiều người ký được xác định trong tài khoản để phê duyệt giao dịch và chuyển tiền, cho phép tạo tài khoản chung bằng tiền điện tử. Mỗi người ký tài khoản giữ khóa riêng của họ và tài khoản yêu cầu một ngưỡng nhất định để phê duyệt giao dịch.
Theo nhóm nghiên cứu, lỗ hổng với multisig của Tron cho phép tạo ra nhiều chữ ký hợp lệ. Họ viết:
“Chúng tôi có thể bỏ qua quy trình xác minh nhiều chữ ký bằng cách ký vào cùng một thông điệp với các chữ ký không xác định mà chúng tôi chọn. Bằng cách đó, chúng tôi sẽ có thể tạo nhiều chữ ký hợp lệ khác nhau cho cùng một thông báo bằng cùng một khóa riêng.”
Theo nhóm an ninh mạng, Tron đảm bảo chữ ký là duy nhất thay vì kiểm tra xem người ký có phải là duy nhất hay không. Do đó, những người ký tên có khả năng “bỏ phiếu kép” hoặc ký hai lần. Omer Sadika, Giám đốc điều hành của dWallet Labs, cho biết cách khắc phục rất đơn giản: xác minh địa chỉ thay vì số lượng chữ ký.
Các nhà nghiên cứu lưu ý rằng lỗ hổng đã được báo cáo cho Tron vào tháng 2 và đã được khắc phục vài ngày sau đó.
Trong một tin tức khác, một giao thức tài chính phi tập trung khác gần đây đã bị khai thác 7,5 triệu USD. Vào ngày 28 tháng 5, công ty bảo mật blockchain PeckShield đã báo cáo rằng Giao thức Jimbos dựa trên Arbitrum đã bị hack, dẫn đến mất 4.000 Ether.
.
