Группа кибербезопасности 0d из dWallet Labs обнаружила серьезную уязвимость в механизме мультиподписи сети Tron

  • ❗️Уважаемые форумчане, ознакомьтесь с правилами форума. Все сообщения и темы должны быть опубликованы в разделах, которые соответствуют их тематике и с четким соблюдением правил форматирования. Нарушение этих правил приведет к блокировке вашего аккаунта.

    Для благодарности на форуме существует кнопка "LIKE", а все сообщения с благодарностями - флуд и захламление тем. Так вы только усложняете поиск информации на форуме. Все кто будут оставлять подобные сообщения - будут восприняты как спам и приведут к блокировке.

    Прежде чем создавать тему с вопросом или добавлять новый вопрос в теме - используйте поиск по форуму, с вероятностью 99% ответ на данный вопрос уже есть на форуме. В противном случае флуд с вопросами будет воспринят как накрутка сообщений и ваш аккаунт будет заблокирован.

  • 🔥 В этом разделе действует конкурс "Горячие новости" - призовой фонд до 20 000 баллов еженедельно
  • 🤝 Партнерская программа. Пригласи друга и получи 500 баллов. Подробнее
  • 🤑 Общайся на форуме за деньги. На форуме существует оплата за создание тем и сообщений. За публикацию полезной информации, пользователи получают баллы, которые можно обменять на криптовалюту

nimogsm

Интересующийся
Топикстартер
23 Сен 2022
692
202
TON Testnet
0
Баллы
2 499
Группа кибербезопасности 0d из dWallet Labs обнаружила серьезную уязвимость в механизме мультиподписи сети Tron, которая затронула активы на сумму около 500 миллионов долларов.Исследователи сообщили, что данная уязвимость позволяла любому участнику мультисиг-аккаунта преодолеть механизм безопасности Tron, независимо от порога и количества подписывающих сторон.

Механизм проверки мультисиг-транзакций в Tron ранее сопоставлял подписи с определенным списком,чтобы предотвратить их повторное использование.Однако злоумышленник мог создавать случайные адреса для подписи, обходя эту защиту и получая достаточный вес для подтверждения операции.

Уязвимость также позволяла атакующему осуществлять атаку даже без наличия разрешений для кошелька.Для этого злоумышленнику требовалась только транзакция, частично подписанная кем-то без достижения порога исполнения.Злоумышленник мог реплицировать первую подпись, изменять значение recoveryId и осуществлять перевод средств.

Под угрозой оказались все активы, хранящиеся в аккаунтах с мультиподписью в сети Tron, общей стоимостью около 500 миллионов долларов, отметили в dWallet Labs.
Команда Tron внесла изменения в код сети, устраняющие данную уязвимость в течение нескольких дней. Вместо проверки по списку подписей, разработчики внедрили сопоставление по адресам сообщений в механизм управления мультисиг-аккаунтами.

Источник: https://forklog.com/news/eksperty-dwallet-labs-obnaruzhili-v-tron-uyazvimost-na-500-mln