dWallet Labs araştırma ekibi, Tron multisig hesaplarında bir saldırganın çoklu imza mekanizmasını atlamasına olanak tanıyan güvenlik açığı keşfetti.
Araştırma ekibi konu ile ilgili paylaştığı gönderide, güvenlik açığının Tron multisig hesaplarında tutulan 500 milyon dolarlık varlığı etkileyebileceğini söyledi. Adından da anlaşılacağı üzere çoklu imza cüzdanları (multisig), işlemleri onaylamak ve fonları taşımak için bir hesapta tanımlanmış birden fazla imzayı gerektirir. Hesabı imzalayan her kişi kendi anahtarına sahiptir ve hesap, işlemleri onaylamak için belirli bir sınır gerektirir.
Tron Sorunu Düzeltmekte Geç Kaldı
Araştırma ekibine göre, Tron multisig cüzdanlarındaki güvenlik açığı sayısız geçerli imzanın oluşturulmasına izin veriyor.
Araştırma ekibi konu ile ilgili paylaştığı gönderide: “Aynı mesajı kendi seçtiğimiz deterministik olmayan nonces’larla imzalayarak multisig doğrulama sürecini atlatabiliriz. Bunu yaparak, aynı özel anahtarla aynı mesaj için birçok geçerli farklı imza oluşturabileceğiz” ifadelerini kullandı.
Siber güvenlik ekibine göre Tron, imzalayanların farklı kişiler olup olmadığını kontrol etmek yerine imzaların benzersiz olmasını sağlıyor. Bu nedenle, imzalayanlar potansiyel olarak çifte oylama yapabiliyor ve iki kez imza imzalayabiliyorlar.
Araştırmacılar, güvenlik açığının Şubat ayında Tron’a bildirildiğini ve günler sonra düzeltildiğini belirtti.
Bu makale yatırım tavsiyesi veya önerisi içermemektedir. Her yatırım ve alım satım hareketi risk içerir ve okuyucular karar verirken kendi araştırmalarını yapmalıdır.
