Các nhà nghiên cứu bảo mật đã tiết lộ một lỗ hổng trong chuỗi khối TRON vào ngày 30 tháng 5, lỗ hổng trước đó đã khiến 500 triệu đô la tiền điện tử gặp rủi ro.
TRON xảy ra lỗ hỏng nghiêm trọng: “Một người ký có thể đã truy cập nhiều tài khoản”
Nhóm nghiên cứu 0d tại phòng thí nghiệm dWallet cho biết lỗ hổng zero-day nghiêm trọng trong chuỗi khối TRON. Khiến các tài khoản nhiều chữ ký dễ bị đánh cắp.
Lỗ hổng được tìm thấy sẽ cho phép bất kỳ người ký nào được liên kết với bất kỳ tài khoản nhiều chữ ký cụ thể nào. Cũng đều có thể truy cập một tay vào các khoản tiền trong tài khoản đó.
Giám sát trong cách tiếp cận của TRON đối với multisig. Có nghĩa là quy trình xác minh của nó đã không xác minh tất cả thông tin cần thiết. Theo các nhà nghiên cứu của 0d, dòng tấn công này sẽ “vượt qua hoàn toàn” bảo mật đa chữ ký của TRON.
Thành viên nhóm Omer Sadika đã viết:
” … Quá trình xác minh nhiều chữ ký [có thể đã được] bỏ qua bằng cách ký vào cùng một thông điệp bằng các chữ ký không xác định…Nói một cách đơn giản, một người ký có thể tạo nhiều chữ ký hợp lệ cho cùng một thông báo.”
Theo các nhà nghiên cứu, giải pháp cho vấn đề này rất đơn giản. Chữ ký hiện được kiểm tra dựa trên danh sách địa chỉ, không chỉ danh sách chữ ký.
Lỗ hổng được báo cáo vào tháng 2
Nhóm nghiên cứu 0d cho biết họ đã báo cáo sự cố thông qua chương trình tiền thưởng lỗi của TRON vào ngày 19 tháng 2. Nhóm nói thêm rằng TRON đã vá lỗ hổng trong vài ngày. Và họ nói rằng hầu hết các trình xác nhận TRON hiện đã được vá.
Các nhà nghiên cứu đã nhấn mạnh trong một tuyên bố riêng trên Twitter rằng “không có tài sản nào của người dùng gặp rủi ro” khi lỗ hổng đã được khắc phục.
TRON vẫn chưa đưa ra tuyên bố công khai nào
