Datgelodd ymchwilwyr diogelwch fregusrwydd yn y blockchain TRON ar Fai 30 a oedd yn flaenorol yn rhoi $ 500 miliwn o crypto mewn perygl.
Gallai un arwyddwr fod wedi cyrchu cyfrifon amlitisig
Dywedodd tîm ymchwil 0d yn labordai dWallet fod bregusrwydd sero-diwrnod critigol yn y blockchain TRON yn gadael cyfrifon multisig yn agored i ladrad.
Rhaid i gyfrifon aml-sig gael eu llofnodi gan lofnodion lluosog cyn iddynt gyflawni trafodiad, fel y mae'r enw'n awgrymu. Fodd bynnag, byddai'r bregusrwydd a geir yn TRON wedi caniatáu i unrhyw arwyddwr sy'n gysylltiedig ag unrhyw gyfrif multisig penodol gael mynediad ar ei ben ei hun i'r cronfeydd o fewn y cyfrif hwnnw.
Roedd amryfusedd yn ymagwedd TRON at multisig yn golygu nad oedd ei broses ddilysu yn dilysu'r holl wybodaeth angenrheidiol. Byddai'r ymosodiad hwn wedi “goresgyn yn llwyr” ddiogelwch amlsig TRON, yn ôl ymchwilwyr 0d.
Aelod tîm Omer Sadika Ysgrifennodd:
” … [gallai fod wedi] osgoi’r broses ddilysu amlsig trwy lofnodi’r un neges â geiriau anbenderfynol… Yn syml, gall un llofnodwr greu llofnodion dilys lluosog ar gyfer yr un neges.”
Roedd yr ateb i'r broblem hon yn syml, yn ôl ymchwilwyr. Mae llofnodion bellach yn cael eu gwirio yn erbyn rhestr o gyfeiriadau, nid dim ond rhestr o lofnodion.
Adroddwyd am fregusrwydd ym mis Chwefror
Dywedodd tîm ymchwil 0d eu bod wedi adrodd am y mater trwy raglen byg bounty TRON ar Chwefror 19. Ychwanegodd y tîm fod TRON wedi clytio'r bregusrwydd mewn dyddiau, a dywedasant fod y rhan fwyaf o ddilyswyr TRON bellach yn glytiog.
Pwysleisiodd ymchwilwyr mewn datganiad Twitter ar wahân “nad oes unrhyw asedau defnyddwyr mewn perygl” nawr bod y bregusrwydd wedi'i sefydlog.
Nid yw TRON wedi cyhoeddi ei ddatganiad cyhoeddus ei hun eto.
Mae'r swydd TRON osgoi $500M agored i niwed multisig ymddangos yn gyntaf ar CryptoSlate.
Ffynhonnell: https://cryptoslate.com/tron-avoided-500m-multisig-vulnerability/