TRON, 500 Milyon Dolarlık Çoklu İmza Güvenlik Açığı Önlüyor

Hata düzeltildi ve hiçbir kullanıcı varlığı risk altında değil.

Güvenlik araştırmacıları, 30 Mayıs'ta TRON blok zincirinde daha önce kripto para biriminde 500 milyon doları riske atan bir güvenlik açığını açıkladı.

Bir imzalayan, çoklu imza hesabına erişmiş olabilir

dWallet Labs'deki 0d araştırma ekibine göre, TRON blok zincirindeki kritik bir sıfır gün güvenlik açığı, çoklu imza hesaplarını hırsızlığa karşı savunmasız hale getiriyor.

Adından da anlaşılacağı gibi, bir işlemin yürütülebilmesi için çoklu imza hesaplarının birden fazla imzadan geçmesi gerekir. Bununla birlikte, TRON'da keşfedilen bir güvenlik açığı, herhangi bir çoklu imza hesabıyla ilişkili herhangi bir imzalayanın, o hesaptaki fonlara bireysel olarak erişmesine izin verebilir.

TRON'un çoklu imza yaklaşımındaki ihmali, doğrulama sürecinin gerekli tüm bilgileri doğrulamadığı anlamına gelir. 0d araştırmacılarına göre, bu tür bir saldırı TRON'un çoklu imza güvenliğini "tamamen ortadan kaldırır".

Takım üyesi Ömer Sadika şunları yazdı:

"...çoklu imza doğrulama süreci, aynı mesajın deterministik olmayan rastgele bir sayı kullanılarak imzalanmasıyla atlatılabilirdi...Kısacası, tek bir imzalayan, aynı mesaj için birden çok geçerli imza oluşturabilir."

Araştırmacılara göre bu sorunun çözümü basit. İmzalar artık sadece bir imza listesine göre değil, bir adres listesine göre kontrol ediliyor.

Güvenlik açığı Şubat ayında bildirildi

0d araştırma ekibi, sorunu 19 Şubat'ta TRON'un bug bounty programı aracılığıyla bildirdiklerini söyledi. Ekip, TRON'un güvenlik açığını birkaç gün içinde yamaladığını ekledi ve çoğu TRON doğrulayıcısının artık yama uyguladığını belirtti.

Ayrı bir Twitter açıklamasında araştırmacılar, güvenlik açığı giderildiği için "hiçbir kullanıcı varlığının risk altında olmadığını" vurguladı.

TRON henüz kendi basın açıklamasını yayınlamadı.