رفع آسیب‌پذیری امنیتی ترون

به گزارش کریپتواسلیت، تیم تحقیقاتی d۰ در آزمایشگاه‌های «dWallet» اعلام کرده که یک آسیب‌پذیری مهم مربوط به حمله روز صفر حساب‌های چند امضایی بلاک‌چین ترون را در معرض خطر قرار داده است. همان‌طور که از اسم آن پیدا است، حساب‌ها یا کیف پول‌های چند امضایی قبل از انجام هر تراکنشی توسط چند کاربر امضا تایید می‌شوند. با این حال، آسیب‌پذیری موجود در ترون به هر امضا کننده مرتبط با این حساب‌ها اجازه می‌داد که به‌تنهایی به سرمایه آن حساب دسترسی داشته باشند.

این به آن معناست که فرآیند تایید تراکنش در ترون به تایید تمام اطلاعات موردنیاز احتیاجی نداشته است. طبق گفته‌های این محققان، اگر هکرها از این مساله سوءاستفاده و به ترون حمله می‌کردند، می‌توانستند بر امنیت حساب‌های چندامضایی آن کاملا غلبه کنند. یکی از اعضای این تیم اعلام کرده است: فرآیند تایید حساب‌های چندامضایی [می‌توانست] با امضای یک پیام با نانس‌های  non-deterministic دور زده شود. به زبان ساده، یک امضاکننده می‌تواند چند امضای معتبر برای یک پیام ایجاد کند.

با این حال، طبق گفته‌های محققان راه‌حل این مشکل بسیار ساده است؛ پس از رفع این نقص امنیتی، امضاها با فهرستی از آدرس‌ها بررسی می‌شوند، نه فقط فهرستی از امضاها.

تیم تحقیقاتی d۰ علام کرده که در ۱۹فوریه (۳۰ بهمن) این مشکل را از طریق برنامه پاداش باگ ترون‌ گزارش داده است. آنها توضیح داده‌اند که ترون‌ آسیب‌پذیری مذکور را تنها طی چند روز اصلاح کرده و اکثر اعتبارسنج‌های خود را آپدیت کرده است.

اعضای این تیم در بیانیه‌ای جداگانه در توییتر تاکید کردند که آسیب‌پذیری مذکور در حال حاضر برطرف شده است و دارایی کاربران دیگر در معرض خطر قرار ندارد. با این حال، ترون هنوز بیانیه‌ای در این زمینه صادر نکرده است.