Новости Эксперты dWallet Labs обнаружили в Tron уязвимость на $500 млн

Тема в разделе "Новости криптовалют", создана пользователем CoinProject.info, 1 Июнь 2023.

Реклама
  1. CoinProject.info

    CoinProject.info Топ Мастер ПРЕМИУМ

    Сообщения:
    33,683
    Симпатии:
    41
    Пол:
    Мужской
    Сайт:
    Биржи на которых я торгую:


    Группа кибербезопасности 0d из dWallet Labs выявила в сети Tron критическую уязвимость механизма мультиподписи, которая затрагивала активы примерно на $500 млн.


    0d, our superstar cybersecurity research team, discovered a vulnerability in TRON multisig accounts putting over $500M of digital assets at risk — it was disclosed and fixed so there are no user assets at risk now.

    A technical breakdown:https://t.co/nMj6kV6Oc3

    — dWallet Labs (@dWalletLabs) May 30, 2023

    «Баг позволял любому подписанту (без учета веса) мультисиг-аккаунта полностью преодолеть установки безопасности Tron, независимо от порога и количества подписывающих сторон», — заявили исследователи.

    19 февраля они связались с командой блокчейн-проекта через интерфейс баунти-программы. Разработчики сети «быстро признали наличие уязвимости» и внесли исправление в течение нескольких дней.

    Эксперты 0d получили вознаграждение за выявление проблемы высокой степени серьезности. Сумму они не озвучили.

    Исследователи пояснили, что используемый в Tron механизм проверки мультисиг-транзакций сопоставлял подписи со списком, чтобы избежать их двойного использования.

    Однако злоумышленник мог генерировать случайные адреса для подписи помимо детерминированного. Это позволяло обойти защиту и получить достаточный вес для подтверждения операции.

    Уязвимость допускала еще один вектор атаки, который даже не требовал наличия каких-либо разрешений для кошелька. Злоумышленнику была необходима только транзакция, подписанная кем-то частично без достижения порога исполнения. Он мог реплицировать первую подпись, изменить значение recoveryId и произвести перевод.

    Под потенциальной угрозой оказались все активы в аккаунтах с мультиподписью в сети на сумму около $500 млн, подчеркнули в dWallet Labs.

    Внесенные командой Tron «за считанные дни» изменения в код ликвидировали уязвимость. Вместо проверки по списку подписей разработчики внедрили в механизм управления мультисиг-аккаунтами сопоставление по адресам сообщений.

    https://forklog.com/cryptorium/chto-takoe-multipodpis

    Напомним, в апреле стало известно, что разработчики протокола Ethermint из экосистемы Cosmos устранили критическую уязвимость, обнаруженную специалистами Jump Crypto. Баг угрожал потерей «восьмизначной суммы» в долларах.

    Новость Эксперты dWallet Labs обнаружили в Tron уязвимость на $500 млн на сайте CoinProject.info.
     

    Понравился пост? Поделись с друзьями!

Реклама
Похожие темы:
  1. CoinProject.info
    Ответов:
    0
    Просмотров:
    401
  2. CoinProject.info
    Ответов:
    0
    Просмотров:
    393
  3. CoinProject.info
    Ответов:
    0
    Просмотров:
    262
  4. CoinProject.info
    Ответов:
    0
    Просмотров:
    53
  5. CoinProject.info
    Ответов:
    0
    Просмотров:
    36
Загрузка...