Аналітики знайшли вразливість підписів Tron на $500 млн
- Вона стосувалася гаманців із мультипідписом
- Програмісти вже випустили патч
- Але потрібно запам’ятати важливу пораду на майбутнє
Аналітики Dwallet Labs виявили критичну вразливість у власному механізмі мультипідпису мережі Tron. Цей баг міг зачепити криптоактиви на суму понад $500 млн. Команда розробників Tron по гарячих слідах виправила експлойт, створивши спеціальний патч. Тому зараз користувачі гаманців із мультипідписом не наражаються на будь-які ризики.
Експерти пояснили, що експлойт виник на стороні процесу перевірки мультисиг-транзакцій у мережі Tron. Механізм будується на унікальності підпису. Але процес генерації таких підписів ненадійний через так зване явище детерменізму. Це коли алгоритм використовує випадкові числа для генерації кількох підписів для одного й того самого повідомлення, використовуючи один і той самий закритий ключ.
За словами аналітиків, Tron відповідає за унікальність підписів. Але він не перевіряє унікальність підписантів. Через це деякі користувачі потенційно можуть двічі проголосувати або підписати транзакцію. У зв’язку з інцидентом Odsy Network Омер Садіка дає просту пораду: перевіряйте адресу, а не кількість підписів.
Сама команда Tron не дає коментарів щодо цього багу. За словами Odsy Network, інцидент трапився ще в лютому.