d錢包Labs 的研究團隊發現了Tron 多重簽名賬戶中的一個零日漏洞,該漏洞可能使價值5 億美元的資產面臨風險。
d錢包Labs 的研究團隊發現了Tron 多重簽名賬戶中的一個零日漏洞,該漏洞可能使價值5 億美元的資產面臨風險。該漏洞允許任何簽名者繞過多重簽名安全並使用單個簽名批准交易,而不是像預期的那樣需要多個簽名者。 d錢包Labs 在2 月份向Tron 報告了這個問題,並在幾天內得到修復。
多重簽名賬戶旨在創建加密貨幣聯合賬戶,其中每個簽名者都持有自己的密鑰,並且需要一定的簽名閾值才能轉移資金。然而,d錢包Labs 研究團隊發現Tron 的多重簽名驗證過程存在缺陷,因為它檢查簽名而不是簽名者的唯一性。這使簽名者能夠使用相同的私鑰為同一消息生成多個有效簽名,有效地“雙重投票”或簽名兩次。
d錢包Labs CEO Omer Sadika 表示,解決方案是驗證地址而不是簽名數量。據研究團隊稱,該漏洞已被及時披露和修復,因此沒有用戶資產受到損害。該漏洞凸顯了加密貨幣項目安全審計和測試的重要性,尤其是那些涉及大量資金的項目。
資訊來源:由0x資訊編譯自COINMARKETCAP。版權歸作者所有,未經許可,不得轉載