Ein Forschungsteam bei dWallet Labs hat eine Zero-Day-Schwachstelle in Tron-Multisig-Konten entdeckt, die es einem Angreifer ermöglicht, den Multisignatur-Mechanismus zu umgehen und Transaktionen mit einer einzigen Signatur zu signieren.
In einem technischen Aufschlüsselungsbeitrag sagte das Forschungsteam, dass sich die Sicherheitslücke auf Vermögenswerte in Höhe von 500 Millionen US-Dollar ausgewirkt haben könnte, die auf Tron-Multisig-Konten gehalten werden. Dies liegt daran, dass es jedem Unterzeichner ermöglicht, „die von TRON gebotene Multisig-Sicherheit vollständig zu überwinden“.
0d, unser Superstar-Cybersicherheitsforschungsteam, hat eine Schwachstelle in TRON-Multisig-Konten entdeckt, die digitale Vermögenswerte im Wert von über 500 Millionen US-Dollar gefährdet – sie wurde offengelegt und behoben, sodass derzeit keine Benutzerressourcen gefährdet sind.
Eine technische Aufschlüsselung:https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) 30. Mai 2023
Wie der Name schon sagt, erfordern Multisignatur-Wallets mehrere in einem Konto definierte Unterzeichner, um Transaktionen zu genehmigen und Gelder zu bewegen, was die Erstellung gemeinsamer Konten in Krypto ermöglicht. Jeder Kontounterzeichner verfügt über seine eigenen Schlüssel und das Konto erfordert einen bestimmten Schwellenwert für die Genehmigung von Transaktionen.
Nach Angaben des Forschungsteams ermöglicht die Schwachstelle mit Trons Multisig die Generierung vieler gültiger Signaturen. Sie schrieben:
„Wir können den Multisig-Verifizierungsprozess umgehen, indem wir dieselbe Nachricht mit nicht deterministischen Nonces unserer Wahl signieren. Auf diese Weise können wir mit demselben privaten Schlüssel viele gültige unterschiedliche Signaturen für dieselbe Nachricht generieren.“
Nach Angaben des Cybersicherheitsteams stellt Tron sicher, dass die Signaturen eindeutig sind, anstatt zu prüfen, ob die Unterzeichner eindeutig sind. Aus diesem Grund können Unterzeichner möglicherweise „doppelt abstimmen“ oder zweimal unterschreiben. Omer Sadika, der CEO von dWallet Labs, sagte, die Lösung sei einfach: Überprüfen Sie die Adresse anstelle der Anzahl der Signaturen.
Die Forscher stellten fest, dass die Schwachstelle Tron im Februar gemeldet und wenige Tage später behoben wurde.
Related: Justin Sun entschuldigt sich, nachdem Sui LaunchPool mit dem CEO von Binance zusammenstieß
Cointelegraph hat Tron um einen Kommentar gebeten, jedoch keine Antwort erhalten.
Darüber hinaus erlitt ein anderes dezentrales Finanzprotokoll kürzlich einen Exploit in Höhe von 7.5 Millionen US-Dollar. Am 28. Mai berichtete das Blockchain-Sicherheitsunternehmen PeckShield, dass das auf Arbitrum basierende Jimbos-Protokoll gehackt wurde, was zum Verlust von 4,000 Ether (ETH) führte.
Magazine: Die USA und China versuchen, die Bestechungsforderung von Binance und SBF in Höhe von 40 Millionen US-Dollar zu zerschlagen
Quelle: https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team