Mae tîm ymchwil yn dWallet Labs wedi darganfod bregusrwydd dim diwrnod yng nghyfrifon Tron multisig, gan ganiatáu i ymosodwr osgoi'r mecanwaith amllofnod a llofnodi trafodion gydag un llofnod.
Mewn post dadansoddiad technegol, dywedodd y tîm ymchwil y gallai'r bregusrwydd fod wedi effeithio ar $500 miliwn mewn asedau a ddelir yng nghyfrifon Tron multisig. Mae hyn oherwydd ei fod yn caniatáu i unrhyw arwyddwr “orchfygu’n llwyr y diogelwch multisig a gynigir gan TRON.”
Darganfu 0d, ein tîm ymchwil cybersecurity superstar, wendid mewn cyfrifon TRON multisig gan roi dros $500M o asedau digidol mewn perygl - fe'i datgelwyd a'i osod felly nid oes unrhyw asedau defnyddwyr mewn perygl nawr.
Dadansoddiad technegol: https://t.co/nMj6kV6Oc3
— Labordai dWallet (@dWalletLabs) Efallai y 30, 2023
Fel y mae ei enw'n awgrymu, mae angen llofnodwyr lluosog a ddiffinnir mewn cyfrif ar waledi amllofnod i gymeradwyo trafodion a symud arian, gan ganiatáu creu cyfrifon ar y cyd yn crypto. Mae pob llofnodwr cyfrif yn dal ei allweddi ei hun ac mae'r cyfrif yn gofyn am drothwy penodol ar gyfer cymeradwyo trafodion.
Yn ôl y tîm ymchwil, mae natur agored i niwed Tron's multisig yn caniatáu ar gyfer cynhyrchu llawer o lofnodion dilys. Ysgrifennon nhw:
“Gallwn osgoi’r broses ddilysu aml-sig trwy lofnodi’r un neges â nonces anbenderfynol o’n dewis. Drwy wneud hynny, byddwn yn gallu cynhyrchu llawer o wahanol lofnodion dilys ar gyfer yr un neges gan ddefnyddio’r un allwedd breifat.”
Yn ôl y tîm cybersecurity, mae Tron yn sicrhau bod y llofnodion yn unigryw yn lle gwirio a yw'r arwyddwyr yn unigryw. Oherwydd hyn, mae'n bosibl y gall arwyddwyr “bleidlais ddwbl” neu lofnodi ddwywaith. Dywedodd Omer Sadika, Prif Swyddog Gweithredol dWallet Labs, fod yr atgyweiriad yn syml: gwiriwch y cyfeiriad yn lle nifer y llofnodion.
Nododd yr ymchwilwyr yr adroddwyd am y bregusrwydd i Tron ym mis Chwefror a dyddiau penodol ar ôl hynny.
Cysylltiedig: Mae Justin Sun yn ymddiheuro ar ôl i Sui LaunchPool wrthdaro â Phrif Swyddog Gweithredol Binance
Cysylltodd Cointelegraph â Tron am sylwadau ond ni chafodd ymateb.
Mewn newyddion eraill, yn ddiweddar dioddefodd protocol cyllid datganoledig arall ecsbloetio $7.5 miliwn. Ar Fai 28, dywedodd y cwmni diogelwch blockchain PeckShield fod Protocol Jimbos o Arbitrum wedi'i hacio, gan arwain at golli 4,000 Ether (ETH).
Cylchgrawn: Yr Unol Daleithiau a Tsieina yn ceisio gwasgu Binance, hawliad llwgrwobrwyo $40M SBF
Ffynhonnell: https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team