dWallet Labs의 연구팀은 공격자가 다중 서명 메커니즘을 우회하고 단일 서명으로 트랜잭션에 서명할 수 있는 제로데이 취약점을 Tron 다중 서명 계정에서 발견했습니다.
기술 분석 게시물에서 연구팀은 취약점이 Tron 다중서명 계정에 보관된 자산 500억 달러에 영향을 미쳤을 수 있다고 말했습니다. 모든 서명자가 "TRON이 제공하는 다중 서명 보안을 완전히 극복"할 수 있기 때문입니다.
우리의 슈퍼스타 사이버 보안 연구 팀인 0d는 TRON 다중서명 계정에서 500억 달러 이상의 디지털 자산을 위험에 빠뜨리는 취약점을 발견했습니다. 이 취약점이 공개되고 수정되어 현재 위험에 처한 사용자 자산이 없습니다.
기술적 분석:https://t.co/nMj6kV6Oc3
— dWallet Labs(@dWalletLabs) 2023 년 5 월 30 일
이름에서 알 수 있듯이 다중 서명 지갑은 거래를 승인하고 자금을 이동하기 위해 계정에 정의된 여러 서명자가 필요하므로 암호로 공동 계정을 만들 수 있습니다. 각 계정 서명자는 자신의 키를 보유하고 있으며 계정에는 트랜잭션 승인을 위한 특정 임계값이 필요합니다.
연구팀에 따르면 Tron의 멀티시그 취약점으로 인해 많은 유효한 서명을 생성할 수 있습니다. 그들은 썼다:
“우리는 우리가 선택한 비결정적 난스로 동일한 메시지에 서명함으로써 다중서명 검증 프로세스를 우회할 수 있습니다. 그렇게 함으로써 동일한 개인 키로 동일한 메시지에 대해 유효한 여러 서명을 생성할 수 있습니다.”
사이버 보안 팀에 따르면 Tron은 서명자가 고유한지 확인하는 대신 서명이 고유한지 확인합니다. 이 때문에 서명자는 잠재적으로 "이중 투표"하거나 두 번 서명할 수 있습니다. dWallet Labs의 CEO인 Omer Sadika는 해결책이 간단하다고 말했습니다. 서명 수 대신 주소를 확인하는 것입니다.
연구원들은 이 취약점이 XNUMX월에 Tron에 보고되었고 그 후 며칠이 지났다고 밝혔습니다.
관련 : Justin Sun, Sui LaunchPool이 Binance CEO와 충돌 후 사과 발표
Cointelegraph는 의견을 얻기 위해 Tron에 연락했지만 응답을 받지 못했습니다.
다른 소식으로, 또 다른 탈중앙화 금융 프로토콜이 최근 7.5만 달러의 익스플로잇을 당했습니다. 28월 4,000일, 블록체인 보안업체 PeckShield는 Arbitrum 기반 Jimbos Protocol이 해킹되어 XNUMX Ether(ETH)가 손실되었다고 보고했습니다.
매거진 : 미국과 중국은 SBF의 40천만 달러 뇌물 청구인 Binance를 분쇄하려고 합니다.
출처: https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team