Bir Araştırma Ekibi, Tron’un Multisig Hesaplarında Zero-Day Bir Güvenlik Açığı Keşfetti ve Hızlı Bir Şekilde Çözüme Kavuşturdu

Bir Araştırma Ekibi, Tron’un Multisig Hesaplarında Zero-Day Bir Güvenlik Açığı Keşfetti ve Hızlı Bir Şekilde Çözüme Kavuşturdu

dWallet Labs’tan bir araştırma ekibi, Tron’un multisig hesaplarında yakın zamanda zero-day bir güvenlik açığı keşfetti. Bu açık, saldırganların multisignature mekanizmasını atlayarak sadece tek bir imza ile işlem imzalamasına olanak sağlıyordu.

Detaylı bir teknik açıklamada, araştırma ekibi Tron’un yaklaşık olarak 500 milyon dolar değerinde varlık barındıran multisig hesapları üzerindeki bu güvenlik açığının potansiyel etkisine vurgu yaptı. Bu güvenlik açığı, herhangi bir imzalayıcının Tron’un multisig özelliği tarafından sağlanan güvenlik önlemlerini tamamen atlama imkanı sağlıyordu.

İsminden de anlaşılacağı gibi, multisignature (çoklu imza) cüzdanları, işlemleri onaylamak ve fon transferlerini gerçekleştirmek için birden fazla yetkili imzalayıcının gerektiği bir yapıya sahiptir. Bu sayede kripto alanında ortak hesapların oluşturulmasına imkan tanır. Her hesap imzalayıcısı kendi benzersiz anahtarlarına sahiptir ve işlem onayı için belirli bir imza eşiğine ihtiyaç duyulur.

Araştırma ekibinin belirttiğine göre, Tron’un multisig sistemindeki bu açıklık, birden fazla geçerli imza üretmeye olanak sağlamaktadır. Araştırma ekibi, Tron’un güvenlik mekanizmasının, imzaların benzersizliğini doğrulamak yerine imzalayıcıların benzersizliğini sağladığını açıkladı. Sonuç olarak, imzalayıcılar “ikinci kez oy kullanma” veya iki kez imza atma potansiyeline sahiptir. dWallet Labs CEO Omer Sadika, bu sorunun çözümünün basit olduğunu belirtti: sadece imza sayısına değil, aynı zamanda adresin doğruluğunu da kontrol etmek.

Araştırmacılar, söz konusu güvenlik açığını hızla Tron’a bildirdi ve sorun birkaç gün içinde hızla ele alınarak çözüldü.

Cointelegraph, yorumlar için Tron’a başvurdu ancak bir yanıt almadı.

İlgisiz bir konuda, son zamanlarda başka bir merkezi olmayan finans (DeFi) protokolü, bir saldırıya maruz kalarak 7.5 milyon dolarlık bir kayba uğradı. Blockchain güvenlik firması PeckShield, 28 Mayıs tarihinde Arbitrum ağı üzerinde faaliyet gösteren Jimbos Protocol adlı merkezi olmayan finans protokolünün bir saldırıya uğradığını ve bu saldırı sonucunda 4.000 Ether’in çalındığını bildirdi.