Hata düzeltildi ve hiçbir kullanıcı varlığı risk altında değil.
Güvenlik araştırmacıları, 30 Mayıs'ta TRON blok zincirinde daha önce kripto para biriminde 500 milyon doları riske atan bir güvenlik açığını açıkladı.
Bir imzalayan, çoklu imza hesabına erişmiş olabilir
dWallet Labs'deki 0d araştırma ekibine göre, TRON blok zincirindeki kritik bir sıfır gün güvenlik açığı, çoklu imza hesaplarını hırsızlığa karşı savunmasız hale getiriyor.
Adından da anlaşılacağı gibi, bir işlemin yürütülebilmesi için çoklu imza hesaplarının birden fazla imzadan geçmesi gerekir. Bununla birlikte, TRON'da keşfedilen bir güvenlik açığı, herhangi bir çoklu imza hesabıyla ilişkili herhangi bir imzalayanın, o hesaptaki fonlara bireysel olarak erişmesine izin verebilir.
TRON'un çoklu imza yaklaşımındaki ihmali, doğrulama sürecinin gerekli tüm bilgileri doğrulamadığı anlamına gelir. 0d araştırmacılarına göre, bu tür bir saldırı TRON'un çoklu imza güvenliğini "tamamen ortadan kaldırır".
Takım üyesi Ömer Sadika şunları yazdı:
"...çoklu imza doğrulama süreci, aynı mesajın deterministik olmayan rastgele bir sayı kullanılarak imzalanmasıyla atlatılabilirdi...Kısacası, tek bir imzalayan, aynı mesaj için birden çok geçerli imza oluşturabilir."
Araştırmacılara göre bu sorunun çözümü basit. İmzalar artık sadece bir imza listesine göre değil, bir adres listesine göre kontrol ediliyor.
Güvenlik açığı Şubat ayında bildirildi
0d araştırma ekibi, sorunu 19 Şubat'ta TRON'un bug bounty programı aracılığıyla bildirdiklerini söyledi. Ekip, TRON'un güvenlik açığını birkaç gün içinde yamaladığını ekledi ve çoğu TRON doğrulayıcısının artık yama uyguladığını belirtti.
Ayrı bir Twitter açıklamasında araştırmacılar, güvenlik açığı giderildiği için "hiçbir kullanıcı varlığının risk altında olmadığını" vurguladı.
TRON henüz kendi basın açıklamasını yayınlamadı.
View Original
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
TRON, 500 Milyon Dolarlık Çoklu İmza Güvenlik Açığı Önlüyor
Hata düzeltildi ve hiçbir kullanıcı varlığı risk altında değil.
Güvenlik araştırmacıları, 30 Mayıs'ta TRON blok zincirinde daha önce kripto para biriminde 500 milyon doları riske atan bir güvenlik açığını açıkladı.
Bir imzalayan, çoklu imza hesabına erişmiş olabilir
dWallet Labs'deki 0d araştırma ekibine göre, TRON blok zincirindeki kritik bir sıfır gün güvenlik açığı, çoklu imza hesaplarını hırsızlığa karşı savunmasız hale getiriyor.
Adından da anlaşılacağı gibi, bir işlemin yürütülebilmesi için çoklu imza hesaplarının birden fazla imzadan geçmesi gerekir. Bununla birlikte, TRON'da keşfedilen bir güvenlik açığı, herhangi bir çoklu imza hesabıyla ilişkili herhangi bir imzalayanın, o hesaptaki fonlara bireysel olarak erişmesine izin verebilir.
TRON'un çoklu imza yaklaşımındaki ihmali, doğrulama sürecinin gerekli tüm bilgileri doğrulamadığı anlamına gelir. 0d araştırmacılarına göre, bu tür bir saldırı TRON'un çoklu imza güvenliğini "tamamen ortadan kaldırır".
Takım üyesi Ömer Sadika şunları yazdı:
"...çoklu imza doğrulama süreci, aynı mesajın deterministik olmayan rastgele bir sayı kullanılarak imzalanmasıyla atlatılabilirdi...Kısacası, tek bir imzalayan, aynı mesaj için birden çok geçerli imza oluşturabilir."
Araştırmacılara göre bu sorunun çözümü basit. İmzalar artık sadece bir imza listesine göre değil, bir adres listesine göre kontrol ediliyor.
Güvenlik açığı Şubat ayında bildirildi
0d araştırma ekibi, sorunu 19 Şubat'ta TRON'un bug bounty programı aracılığıyla bildirdiklerini söyledi. Ekip, TRON'un güvenlik açığını birkaç gün içinde yamaladığını ekledi ve çoğu TRON doğrulayıcısının artık yama uyguladığını belirtti.
Ayrı bir Twitter açıklamasında araştırmacılar, güvenlik açığı giderildiği için "hiçbir kullanıcı varlığının risk altında olmadığını" vurguladı.
TRON henüz kendi basın açıklamasını yayınlamadı.