Một nhóm nghiên cứu tại dWallet Labs đã phát hiện một lỗ hổng zero-day trong tài khoản multisig (ví đa chữ ký) của Tron.
Lỗ hổng này cho phép kẻ tấn công bỏ qua cơ chế đa chữ ký và ký các giao dịch bằng một chữ ký duy nhất.
“Lỗ hổng này ảnh hưởng đến hơn 500 triệu USD tài sản kỹ thuật số được giữ trong các tài khoản multisig của Tron”.
Sau khi báo cáo lỗ hổng, Tron đã khắc phục vấn đề này trong vài ngày.
Theo dWallet Labs, lỗ hổng này cho phép tạo ra nhiều chữ ký hợp lệ và giải thích:
“Chúng tôi có thể bỏ qua quy trình xác minh nhiều chữ ký bằng cách ký vào cùng một thông điệp với các chữ ký không xác định mà chúng tôi chọn. Bằng cách đó, chúng tôi sẽ có thể tạo nhiều chữ ký hợp lệ khác nhau cho cùng một thông báo bằng cùng một khóa riêng.”
Giám đốc điều hành của dWallet Labs, cho biết cách khắc phục rất đơn giản: xác minh địa chỉ thay vì số lượng chữ ký. Hiện tại, đội ngũ của Tron chưa có phản hồi về thông tin này.
Vào thời điểm viết bài, giá TRX đang đi ngang trong ngày và giao dịch ở mức 0,076 USD.
Đăng bởi
Thùy Duyên Ban Biên Tập
