Technik

TRON hat eine Multisig-Schwachstelle im Wert von 500 Millionen US-Dollar vermieden

11 Monate her
Bitcoin Ethereum Nachrichten

Sicherheitsforscher haben am 30. Mai eine Schwachstelle in der TRON-Blockchain aufgedeckt, die zuvor Kryptowährungen im Wert von 500 Millionen US-Dollar gefährdete.

Ein Unterzeichner könnte auf mehrere Konten zugegriffen haben

Das 0d-Forschungsteam der dWallet Labs sagte, dass eine kritische Zero-Day-Schwachstelle in der TRON-Blockchain Multisig-Konten anfällig für Diebstahl mache.

Multi-Sig-Konten müssen, wie der Name schon sagt, vor der Ausführung einer Transaktion von mehreren Signaturen signiert werden. Die in TRON gefundene Schwachstelle hätte es jedoch jedem Unterzeichner, der mit einem bestimmten Multisig-Konto verbunden ist, ermöglicht, im Alleingang auf die Gelder auf diesem Konto zuzugreifen.

Bild

Versäumnisse im Multisig-Ansatz von TRON führten dazu, dass der Verifizierungsprozess nicht alle erforderlichen Informationen überprüfte. Laut 0d-Forschern hätte diese Angriffslinie die Multisig-Sicherheit von TRON „vollständig überwunden“.

Teammitglied Omer Sadika schrieb:

„… Der Multisig-Verifizierungsprozess [hätte] umgangen werden können, indem dieselbe Nachricht mit nicht deterministischen Nonces signiert wurde … Vereinfacht ausgedrückt kann ein Unterzeichner mehrere gültige Signaturen für dieselbe Nachricht erstellen.“

Die Lösung für dieses Problem war laut Forschern einfach. Signaturen werden jetzt anhand einer Liste von Adressen überprüft, nicht nur anhand einer Liste von Signaturen.

Die Sicherheitslücke wurde im Februar gemeldet

Das 0d-Forschungsteam gab an, das Problem am 19. Februar über das Bug-Bounty-Programm von TRON gemeldet zu haben. Das Team fügte hinzu, dass TRON die Schwachstelle innerhalb weniger Tage behoben habe, und sagte, dass die meisten TRON-Validatoren jetzt gepatcht seien.

Forscher betonten in einer separaten Twitter-Erklärung, dass „kein Benutzervermögen gefährdet“ sei, nachdem die Schwachstelle behoben wurde.

TRON hat noch keine eigene öffentliche Stellungnahme abgegeben.

Der Beitrag „TRON hat eine 500-Millionen-Dollar-Multisig-Sicherheitslücke vermieden“ erschien zuerst auf CryptoSlate.

Quelle: https://cryptoslate.com/tron-avoided-500m-multisig-vulnerability/