보안 업체가 트론 멀티시그 계정에서 5억 달러 취약점을 발견했습니다

dWallet Labs의 연구팀은 Tron 멀티싸인 계정에서 제로데이 취약점을 발견했습니다. 이 취약점은 공격자가 멀티싸인 메커니즘을 우회하고 단일 서명으로 거래에 서명할 수 있도록 허용합니다.

연구팀은 기술적인 설명에서 이 취약점이 Tron 멀티싸인 계정에 보유된 $500백만의 자산에 영향을 미칠 수 있다고 말했습니다. 이는 어떤 서명자든 “TRON이 제공하는 멀티싸인 보안을 완전히 우회할 수 있게” 합니다.

사이버보안 연구팀인 0d는 TRON 멀티싸인 계정에서 취약점을 발견했습니다. 이 취약점으로 인해 디지털 자산 50억 달러 이상이 위험에 빠질 수 있었으나 이미 수정되어 사용자 자산에는 이제 위험이 없습니다. 기술적인 설명: https://t.co/nMj6kV6Oc3

— dWallet Labs (@dWalletLabs) 2023년 5월 30일

멀티싸인 지갑은 이름에서 알 수 있듯이 계정에 정의된 여러 서명자가 거래를 승인하고 자금을 이동할 수 있도록 허용하여 암호화폐에서 공동 계정을 생성하는 것입니다. 각 계정 서명자는 자신의 키를 보유하며 계정은 거래 승인을 위한 특정 임계값을 요구합니다.

연구팀에 따르면 Tron의 멀티싸인 취약점은 많은 유효한 서명을 생성할 수 있도록 합니다. 그들은 이렇게 썼습니다:

“우리는 우리 선택에 따라 결정론적이지 않은 nonce로 동일한 메시지에 서명함으로써 멀티싸인 검증 과정을 우회할 수 있습니다. 이렇게 하면 동일한 비밀 키로 동일한 메시지에 대해 다양한 유효한 서명을 생성할 수 있게 됩니다.”

사이버보안 팀에 따르면 Tron은 서명이 고유한지 검사하는 대신 서명자가 고유한지 확인합니다. 이로 인해 서명자는 잠재적으로 “복수 투표”를 할 수 있거나 두 번 서명할 수 있습니다. dWallet Labs의 CEO인 Omer Sadika는 해결책이 간단하다고 말했습니다. 서명 수 대신 주소를 확인하십시오.

Sadika는 취약점에 대해 토론했습니다. 출처: 트위터

연구원들은 취약점이 2월에 Tron에 보고되었으며 수정된 사실이 그 후 며칠 안에 알려졌다고 밝혔습니다.

관련 기사: Justin Sun, 수이 론치 풀이 바이낸스 CEO와 충돌 후 사과

Cointelegraph는 Tron에 의견을 요청했지만 응답을 받지 못했습니다.

다른 소식으로는 다른 탈중앙화 금융 프로토콜이 최근 750만 달러를 탈취당했습니다. 5월 28일 블록체인 보안 회사 PeckShield는 Arbitrum 기반 Jimbos 프로토콜이 해킹되어 4,000 Ether(ETH)가 손실된 것을 보고했습니다.

매거진: 미국과 중국, 바이낸스를 처단하려는 시도, SBF의 4천만 달러 뇌물 요구