Tron Multisig Hesaplarında Güvenlik Açığı Tespit Edildi

dWallet Labs araştırma takımı, Tron multisig hesaplarında bir saldırganın çoklu imza düzeneğini atlamasına imkan tanıyan güvenlik açığı keşfetti. 

Araştırma grubu husus ile ilgili paylaştığı gönderide, güvenlik açığının Tron multisig hesaplarında tutulan 500 milyon dolarlık varlığı etkileyebileceğini söyledi. İsminden da anlaşılacağı üzere çoklu imza cüzdanları (multisig), süreçleri onaylamak ve fonları taşımak için bir hesapta tanımlanmış birden fazla imzayı gerektirir. Hesabı imzalayan her kişi kendi anahtarına sahiptir ve hesap, süreçleri onaylamak için makul bir hudut gerektirir.

Tron Sorunu Düzeltmekte Geç Kaldı

Araştırma takımına nazaran, Tron multisig cüzdanlarındaki güvenlik açığı sayısız geçerli imzanın oluşturulmasına müsaade veriyor. 

Araştırma takımı mevzu ile ilgili paylaştığı gönderide: “Aynı iletisi kendi seçtiğimiz deterministik olmayan nonces’larla imzalayarak multisig doğrulama sürecini atlatabiliriz. Bunu yaparak, tıpkı özel anahtarla tıpkı bildiri için birçok geçerli farklı imza oluşturabileceğiz” sözlerini kullandı.

Siber güvenlik takımına nazaran Tron, imzalayanların farklı bireyler olup olmadığını denetim etmek yerine imzaların eşsiz olmasını sağlıyor. Bu nedenle, imzalayanlar potansiyel olarak ikili oylama yapabiliyor ve iki sefer imza imzalayabiliyorlar. 

Araştırmacılar, güvenlik açığının Şubat ayında Tron’a bildirildiğini ve günler sonra düzeltildiğini belirtti.