TRON が 5 億ドル規模のマルチシグネチャの脆弱性を回避

このバグはパッチされており、ユーザー資産が危険にさらされることはありません。

セキュリティ研究者らは 5 月 30 日に、以前に暗号通貨の 5 億ドルが危険にさらされていた TRON ブロックチェーンの脆弱性を明らかにしました。

署名者がマルチ署名アカウントにアクセスした可能性があります

dWallet Labsの0d研究チームによると、TRONブロックチェーンに重大なゼロデイ脆弱性があり、マルチシグネチャアカウントが盗難に対して脆弱になっているという。

名前が示すように、マルチ署名アカウントはトランザクションを実行する前に複数の署名を通過する必要があります。しかし、TRON で発見された脆弱性により、特定のマルチシグ アカウントに関連付けられた署名者は、そのアカウント内の資金に個別にアクセスできるようになります。

TRON のマルチ署名アプローチの怠慢は、その検証プロセスが必要な情報をすべて検証していないことを意味します。 0d の研究者らによると、この種の攻撃は TRON のマルチシグネチャ セキュリティを「完全に克服」するでしょう。

チームメンバーのオメル・サディカさんは次のように書いています。

「…複数署名の検証プロセスは、非決定的乱数を使用して同じメッセージに署名することで回避できた可能性があります…つまり、1 人の署名者が同じメッセージに対して複数の有効な署名を作成することができます。」

研究者らによると、この問題の解決策は簡単です。署名は、署名のリストだけでなく、アドレスのリストと照合されるようになりました。

2 月に報告された脆弱性

0d研究チームは、2月19日にTRONのバグ報奨金プログラムを通じてこの問題を報告したと述べた。同チームは、TRON が数日以内にこの脆弱性をパッチしたと付け加え、現在、ほとんどの TRON バリデーターにパッチが適用されていると述べています。

研究者らは別のTwitterの声明で、脆弱性は修正されたため「ユーザー資産が危険にさらされることはない」と強調した。

TRONはまだ独自の公式声明を発表していない。