安全研究人員披露了 TRON 區塊鏈中的一個漏洞 5月30日 之前將 5 億美元的加密貨幣置於風險之中。
一位簽名者可能訪問了多簽名賬戶
dWallet 實驗室的 0d 研究團隊表示,TRON 區塊鏈中的一個嚴重的零日漏洞導致多重簽名賬戶容易被盜。
顧名思義,多重簽名賬戶在執行交易之前必須經過多個簽名。 然而,在 TRON 中發現的漏洞將允許與任何給定多重簽名賬戶關聯的任何簽名者單獨訪問該賬戶中的資金。
TRON 對多重簽名方法的疏忽意味著其驗證過程沒有驗證所有必要的信息。 據 0d 研究人員稱,這種攻擊方式將“完全克服”TRON 的多重簽名安全性。
團隊成員 Omer Sadika 寫了:
” ……多重簽名驗證過程 [could have been] 通過使用非確定性隨機數對同一消息進行簽名來繞過……簡而言之,一個簽名者可以為同一消息創建多個有效簽名。”
據研究人員稱,解決這個問題的方法很簡單。 現在根據地址列表檢查簽名,而不僅僅是簽名列表。
2月份報告了漏洞
0d 研究團隊表示,他們於 2 月 19 日通過 TRON 的漏洞賞金計劃報告了該問題。該團隊補充說,TRON 已在幾天內修補了該漏洞,他們表示大多數 TRON 驗證器現在都已修補。
研究人員在另一份 Twitter 聲明中強調,既然漏洞已被修復,“沒有任何用戶資產面臨風險”。
TRON 尚未發布自己的公開聲明。
帖子 TRON 避免了價值 5 億美元的多重簽名漏洞 首先出現在 密碼板.