Lỗi này đã được vá và không có tài sản nào của người dùng gặp rủi ro.
Các nhà nghiên cứu bảo mật đã tiết lộ một lỗ hổng trong chuỗi khối TRON vào ngày 30 tháng 5, lỗ hổng trước đó đã khiến 500 triệu đô la tiền điện tử gặp rủi ro.
Người ký có thể đã truy cập tài khoản đa chữ ký
Theo nhóm nghiên cứu 0d tại dWallet Labs, một lỗ hổng zero-day nghiêm trọng trong chuỗi khối TRON khiến các tài khoản đa chữ ký dễ bị đánh cắp.
Như tên gợi ý, các tài khoản đa chữ ký phải trải qua nhiều chữ ký trước khi giao dịch có thể được thực hiện. Tuy nhiên, một lỗ hổng được phát hiện trong TRON sẽ cho phép bất kỳ người ký nào được liên kết với bất kỳ tài khoản nhiều chữ ký cụ thể nào đều có thể truy cập riêng vào số tiền trong tài khoản đó.
Sơ suất của TRON với cách tiếp cận đa chữ ký có nghĩa là quá trình xác minh của nó không xác minh tất cả các thông tin cần thiết. Theo các nhà nghiên cứu 0d, kiểu tấn công này sẽ "vượt qua hoàn toàn" bảo mật đa chữ ký của TRON.
Thành viên nhóm Omer Sadika đã viết:
"...quy trình xác minh nhiều chữ ký có thể đã bị phá vỡ bằng cách ký vào cùng một thông báo bằng cách sử dụng một số ngẫu nhiên không xác định... Nói tóm lại, một người ký có thể tạo nhiều chữ ký hợp lệ cho cùng một thông báo."
Theo các nhà nghiên cứu, giải pháp cho vấn đề này rất đơn giản. Chữ ký hiện được kiểm tra dựa trên danh sách địa chỉ, không chỉ danh sách chữ ký.
Lỗ hổng được báo cáo vào tháng Hai
Nhóm nghiên cứu 0d cho biết họ đã báo cáo vấn đề thông qua chương trình tiền thưởng lỗi của TRON vào ngày 19 tháng 2. Nhóm nói thêm rằng TRON đã vá lỗ hổng trong vài ngày và họ tuyên bố rằng hầu hết các trình xác nhận TRON hiện đã được vá.
Trong một tuyên bố riêng trên Twitter, các nhà nghiên cứu nhấn mạnh rằng "không có tài sản nào của người dùng gặp rủi ro" khi lỗ hổng đã được khắc phục.
TRON vẫn chưa đưa ra tuyên bố công khai của riêng mình.
Xem bản gốc
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
TRON tránh được lỗ hổng đa chữ ký trị giá 500 triệu đô la
Lỗi này đã được vá và không có tài sản nào của người dùng gặp rủi ro.
Các nhà nghiên cứu bảo mật đã tiết lộ một lỗ hổng trong chuỗi khối TRON vào ngày 30 tháng 5, lỗ hổng trước đó đã khiến 500 triệu đô la tiền điện tử gặp rủi ro.
Người ký có thể đã truy cập tài khoản đa chữ ký
Theo nhóm nghiên cứu 0d tại dWallet Labs, một lỗ hổng zero-day nghiêm trọng trong chuỗi khối TRON khiến các tài khoản đa chữ ký dễ bị đánh cắp.
Như tên gợi ý, các tài khoản đa chữ ký phải trải qua nhiều chữ ký trước khi giao dịch có thể được thực hiện. Tuy nhiên, một lỗ hổng được phát hiện trong TRON sẽ cho phép bất kỳ người ký nào được liên kết với bất kỳ tài khoản nhiều chữ ký cụ thể nào đều có thể truy cập riêng vào số tiền trong tài khoản đó.
Sơ suất của TRON với cách tiếp cận đa chữ ký có nghĩa là quá trình xác minh của nó không xác minh tất cả các thông tin cần thiết. Theo các nhà nghiên cứu 0d, kiểu tấn công này sẽ "vượt qua hoàn toàn" bảo mật đa chữ ký của TRON.
Thành viên nhóm Omer Sadika đã viết:
"...quy trình xác minh nhiều chữ ký có thể đã bị phá vỡ bằng cách ký vào cùng một thông báo bằng cách sử dụng một số ngẫu nhiên không xác định... Nói tóm lại, một người ký có thể tạo nhiều chữ ký hợp lệ cho cùng một thông báo."
Theo các nhà nghiên cứu, giải pháp cho vấn đề này rất đơn giản. Chữ ký hiện được kiểm tra dựa trên danh sách địa chỉ, không chỉ danh sách chữ ký.
Lỗ hổng được báo cáo vào tháng Hai
Nhóm nghiên cứu 0d cho biết họ đã báo cáo vấn đề thông qua chương trình tiền thưởng lỗi của TRON vào ngày 19 tháng 2. Nhóm nói thêm rằng TRON đã vá lỗ hổng trong vài ngày và họ tuyên bố rằng hầu hết các trình xác nhận TRON hiện đã được vá.
Trong một tuyên bố riêng trên Twitter, các nhà nghiên cứu nhấn mạnh rằng "không có tài sản nào của người dùng gặp rủi ro" khi lỗ hổng đã được khắc phục.
TRON vẫn chưa đưa ra tuyên bố công khai của riêng mình.