ក្រុមស្រាវជ្រាវនៅ dWallet Labs បានរកឃើញភាពងាយរងគ្រោះសូន្យថ្ងៃនៅក្នុងគណនី Tron multisig ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារឆ្លងកាត់យន្តការពហុហត្ថលេខា និងចុះហត្ថលេខាលើប្រតិបត្តិការដោយហត្ថលេខាតែមួយ។
នៅក្នុងការប្រកាសការវិភាគផ្នែកបច្ចេកទេស ក្រុមស្រាវជ្រាវបាននិយាយថា ភាពងាយរងគ្រោះអាចប៉ះពាល់ដល់ទ្រព្យសម្បត្តិចំនួន 500 លានដុល្លារដែលកាន់កាប់នៅក្នុងគណនី Tron multisig ។ នេះគឺដោយសារតែវាអនុញ្ញាតឱ្យអ្នកចុះហត្ថលេខាណាមួយ "យកឈ្នះទាំងស្រុងនូវសុវត្ថិភាព multisig ដែលផ្តល់ដោយ TRON" ។
0d ក្រុមស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតរបស់យើងបានរកឃើញភាពងាយរងគ្រោះនៅក្នុងគណនី TRON multisig ដែលដាក់ទ្រព្យសកម្មឌីជីថលជាង 500 លានដុល្លារក្នុងហានិភ័យ – វាត្រូវបានបញ្ចេញ និងជួសជុល ដូច្នេះមិនមានទ្រព្យសម្បត្តិអ្នកប្រើប្រាស់ណាដែលមានហានិភ័យទេឥឡូវនេះ។
ការវិភាគបច្ចេកទេស៖ https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) ថ្ងៃទី 30 ខែ ឧសភា ឆ្នាំ 2023
ដូចដែលឈ្មោះរបស់វាបានបង្ហាញ កាបូបដែលមានហត្ថលេខាច្រើនតម្រូវឱ្យអ្នកចុះហត្ថលេខាជាច្រើនដែលបានកំណត់នៅក្នុងគណនីមួយ ដើម្បីអនុម័តប្រតិបត្តិការ និងផ្លាស់ទីមូលនិធិ ដែលអនុញ្ញាតឱ្យបង្កើតគណនីរួមនៅក្នុងគ្រីបតូ។ អ្នកចុះហត្ថលេខាលើគណនីនីមួយៗមានសោផ្ទាល់ខ្លួនរបស់ពួកគេ ហើយគណនីតម្រូវឱ្យមានកម្រិតជាក់លាក់មួយសម្រាប់ការអនុម័តប្រតិបត្តិការ។
យោងតាមក្រុមស្រាវជ្រាវ ភាពងាយរងគ្រោះជាមួយ multisig របស់ Tron អនុញ្ញាតឱ្យបង្កើតហត្ថលេខាត្រឹមត្រូវជាច្រើន។ ពួកគេបានសរសេរថា:
"យើងអាចរំលងដំណើរការផ្ទៀងផ្ទាត់ពហុលេខដោយការចុះហត្ថលេខាលើសារដូចគ្នាជាមួយនឹងជម្រើសមិនកំណត់នៃជម្រើសរបស់យើង។ តាមរយៈការធ្វើដូច្នេះ យើងនឹងអាចបង្កើតហត្ថលេខាផ្សេងគ្នាជាច្រើនដែលមានសុពលភាពសម្រាប់សារដូចគ្នាដោយសោឯកជនដូចគ្នា»។
យោងតាមក្រុមសន្តិសុខតាមអ៊ីនធឺណិត លោក Tron ធានាថាហត្ថលេខាមានតែមួយគត់ជំនួសឱ្យការពិនិត្យមើលថាតើអ្នកចុះហត្ថលេខាមានតែមួយគត់ឬអត់។ ដោយសារតែនេះ អ្នកចុះហត្ថលេខាអាចមានសក្តានុពល "បោះឆ្នោតពីរដង" ឬចុះហត្ថលេខាពីរដង។ Omer Sadika នាយកប្រតិបត្តិនៃ dWallet Labs បាននិយាយថា ការជួសជុលនេះគឺសាមញ្ញ៖ ផ្ទៀងផ្ទាត់អាសយដ្ឋានជំនួសឱ្យចំនួនហត្ថលេខា។
អ្នកស្រាវជ្រាវបានកត់សម្គាល់ថា ភាពងាយរងគ្រោះត្រូវបានរាយការណ៍ទៅ Tron ក្នុងខែកុម្ភៈ ហើយបានកំណត់ថ្ងៃបន្ទាប់។
ដែលទាក់ទង: Justin Sun ចេញការសុំទោសបន្ទាប់ពី Sui LaunchPool ប៉ះទង្គិចជាមួយនាយកប្រតិបត្តិ Binance
Cointelegraph បានទាក់ទងទៅ Tron សម្រាប់មតិយោបល់ប៉ុន្តែមិនបានទទួលការឆ្លើយតបទេ។
នៅក្នុងព័ត៌មានផ្សេងទៀត ពិធីសារហិរញ្ញវត្ថុវិមជ្ឈការមួយទៀតថ្មីៗនេះបានទទួលរងការកេងប្រវ័ញ្ច $7.5 លានដុល្លារ។ នៅថ្ងៃទី 28 ខែឧសភាក្រុមហ៊ុនសន្តិសុខ blockchain PeckShield បានរាយការណ៍ថាពិធីការ Jimbos ដែលមានមូលដ្ឋានលើ Arbitrum ត្រូវបានលួចដែលបណ្តាលឱ្យបាត់បង់ 4,000 Ether (ETH) ។
ទស្សនាវដ្តី៖ សហរដ្ឋអាមេរិក និងចិនព្យាយាមកំទេច Binance ដែលជាការទាមទារសំណូកចំនួន 40 លានដុល្លាររបស់ SBF
ប្រភព៖ https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team