Аналитики Dwallet Labs обнаружили критическую уязвимость в собственном механизме мультиподписи сети Tron. Этот баг мог затронуть криптоактивы на сумму свыше $500 млн. Команда разработчиков Tron по горячим следам исправила эксплойт, создав специальный патч. Поэтому сейчас пользователи кошельков с мультиподписью не подвержены каким-либо рискам.
Эксперты объяснили, что эксплойт возник на стороне процесса проверки мультисиг-транзакций в сети Tron. Механизм строится на уникальности подписи. Но процесс генерации таких подписей ненадежен из-за так называемого явления детерменизма. Это когда алгоритм использует случайные числа для генерации нескольких подписей для одного и того же сообщения, используя один и тот же закрытый ключ.
По словам аналитиков, Tron отвечает за уникальность подписей. Но он не проверяет уникальность подписантов. Из-за этого некоторые пользователи потенциально могут дважды проголосовать или подписать транзакцию. В связи с инцидентом Odsy Network Омер Садика дает простой совет: проверяйте адрес, а не количество подписей.
Сама команда Tron не дает комментариев по данному багу. По словам Odsy Network, инцидент случился еще в феврале.
