Dwallet Labsの一部門である0dとして知られるサイバーセキュリティ研究チームが発表した報告書によると、研究者はTronネットワークのネイティブマルチシグ機構に重大な脆弱性を発見しました。サイバーセキュリティの専門家は、この脆弱性が、トロンのマルチシグ口座に保有される5億ドル以上のデジタル資産に影響を与えた可能性があると説明しています。0dは、Tronの開発チームがバグのパッチを作成することで問題に対処したと明記した。
サイバーセキュリティ研究者がトロンのマルチシグ機構に絡んで発見されたバグをまとめ、トロン開発チームが脆弱性にパッチを当てる
2023年5月30日、Dwallet Labsの研究チーム0dは、Tronのネイティブマルチシグ機構の脆弱性を発見するレポートを発表しました。この脆弱性により、マルチシグアカウントの任意の署名者が、指定された閾値や署名者数に関係なく、ネットワークのセキュリティ対策をバイパスすることが可能になります。「この脆弱性は、Tronのマルチシグアカウントに保有されている5億ドル以上のデジタル資産に影響を与える」と、0dは火曜日に報告しました。
研究者はさらに、Tronの開発者は2023年2月19日にこのバグについて通知され、プログラマーはこの問題に対処するためのパッチを作成したと述べています。0dは、Tronのバリデータの大半は、脆弱性を悪用される可能性を防ぐために、すでにパッチを実装していると述べています。”我々は、Tronの報奨金プログラムを通じて、深刻度の高い脆弱性の報奨金を受け取りました。”とサイバーセキュリティ研究チームは開示しました。
0dは、この脆弱性はTronネットワーク内のmultisigトランザクションの検証プロセスに起因すると説明しています。このネットワークは、個人からの同一のメッセージに対する署名の一意性に依存しています。しかし、RFC6979に記載されている署名生成プロセスの決定論的性質のため、信頼できない署名者は、同じ秘密鍵を使用しながら、様々なノンス(乱数)を利用して、同じメッセージに対して複数の有効な署名を生成できます。
トロンのマルチシグ機構のバグの発覚は、Moneroブロックチェーンにおけるプライバシーの脆弱性の発見と重なります。このバグは3年前からMoneroネットワーク上に存在していたと言われており、その後対処されています。0dの研究者であるOmer Sadika氏は、Tronのマルチシグ問題について説明しながら、修正プログラムの導入により、5億ドルが “確保された “と説明しました。