DWallet लैब्स की एक शोध टीम ने ट्रॉन मल्टीसिग खातों में एक शून्य-दिन की भेद्यता की खोज की है, जिससे एक हमलावर बहु-हस्ताक्षर तंत्र को बायपास कर सकता है और एक हस्ताक्षर के साथ लेनदेन पर हस्ताक्षर कर सकता है।
एक तकनीकी ब्रेकडाउन पोस्ट में, अनुसंधान दल ने कहा कि ट्रॉन मल्टीसिग खातों में रखी संपत्ति में भेद्यता $ 500 मिलियन को प्रभावित कर सकती है। ऐसा इसलिए है क्योंकि यह किसी भी हस्ताक्षरकर्ता को "TRON द्वारा दी जाने वाली मल्टीसिग सुरक्षा को पूरी तरह से दूर करने" की अनुमति देता है।
0d, हमारी सुपरस्टार साइबर सुरक्षा अनुसंधान टीम, ने TRON मल्टीसिग खातों में $500M से अधिक की डिजिटल संपत्ति को जोखिम में डालने वाली एक भेद्यता की खोज की - इसका खुलासा और निर्धारण किया गया था, इसलिए अब जोखिम में कोई उपयोगकर्ता संपत्ति नहीं है।
एक तकनीकी खराबी:https://t.co/nMj6kV6Oc3
- dWallet लैब्स (@dWalletLabs) 30 मई 2023
जैसा कि इसके नाम से पता चलता है, मल्टीसिग्नेचर वॉलेट को लेन-देन को मंजूरी देने और फंड को स्थानांतरित करने के लिए एक खाते में परिभाषित कई हस्ताक्षरकर्ताओं की आवश्यकता होती है, जिससे क्रिप्टो में संयुक्त खातों के निर्माण की अनुमति मिलती है। प्रत्येक खाता हस्ताक्षरकर्ता के पास अपनी कुंजियाँ होती हैं और खाते को लेन-देन स्वीकृत करने के लिए एक निश्चित सीमा की आवश्यकता होती है।
अनुसंधान दल के अनुसार, ट्रॉन के मल्टीसिग की भेद्यता कई वैध हस्ताक्षर उत्पन्न करने की अनुमति देती है। उन्होने लिखा है:
"हम अपनी पसंद के गैर-नियतात्मक नॉन के साथ एक ही संदेश पर हस्ताक्षर करके मल्टीसिग सत्यापन प्रक्रिया को बायपास कर सकते हैं। ऐसा करने से, हम एक ही संदेश के लिए एक ही निजी कुंजी द्वारा कई मान्य भिन्न हस्ताक्षर उत्पन्न करने में सक्षम होंगे।"
साइबर सुरक्षा टीम के अनुसार, ट्रॉन यह सुनिश्चित करता है कि हस्ताक्षरकर्ता अद्वितीय हैं या नहीं, यह जाँचने के बजाय हस्ताक्षर अद्वितीय हैं। इस वजह से, हस्ताक्षरकर्ता संभावित रूप से "डबल वोट" या दो बार हस्ताक्षर कर सकते हैं। dWallet लैब्स के सीईओ ओमर सादिका ने कहा कि फिक्स सरल था: हस्ताक्षरों की संख्या के बजाय पते को सत्यापित करें।
शोधकर्ताओं ने नोट किया कि ट्रॉन को भेद्यता फरवरी में और निश्चित दिनों के बाद बताई गई थी।
संबंधित: सुई लॉन्चपूल और बिनेंस के सीईओ के बीच टकराव के बाद जस्टिन सन ने माफी मांगी
कॉइनटेग्राफ टिप्पणी के लिए ट्रॉन तक पहुंचा लेकिन उसे कोई प्रतिक्रिया नहीं मिली।
अन्य समाचारों में, हाल ही में एक अन्य विकेन्द्रीकृत वित्त प्रोटोकॉल को $7.5 मिलियन का नुकसान उठाना पड़ा। 28 मई को, ब्लॉकचेन सिक्योरिटी फर्म पेकशील्ड ने बताया कि आर्बिट्रम-आधारित जिंबोस प्रोटोकॉल को हैक कर लिया गया, जिसके परिणामस्वरूप 4,000 ईथर (ईटीएच) का नुकसान हुआ।
पत्रिका: यूएस और चीन ने बिनेंस को कुचलने की कोशिश की, एसबीएफ के $40M रिश्वत का दावा
स्रोत: https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team