یک آسیب پذیری روز صفر در حساب های Tron multisig توسط یک تیم تحقیقاتی در آزمایشگاه dWallet کشف شد که می توانست دارایی های 500 میلیون دلاری را در معرض خطر قرار دهد.
حسابهای Multisig برای ایجاد حسابهای مشترک در رمزنگاری طراحی شدهاند، جایی که هر امضاکننده کلیدهای خود را دارد و آستانه مشخصی از امضا برای انتقال وجوه مورد نیاز است. با این حال، تیم تحقیقاتی dWallet Labs دریافتند که فرآیند تأیید چند علامتی Tron دارای نقص است، زیرا منحصر به فرد بودن امضاها را به جای امضاکنندگان بررسی می کند. این کار امضاکنندگان را قادر میسازد تا چندین امضای معتبر را برای یک پیام با کلید خصوصی یکسان تولید کنند، در واقع «دوبار رأی دادن» یا دو بار امضا کنند.
عمر سادیکا، مدیرعامل dWallet Labs گفت که راه حل این است که به جای تعداد امضا، آدرس را تأیید کنیم. به گفته تیم تحقیقاتی، هیچ یک از داراییهای کاربر توسط این آسیبپذیری آسیب ندیده است، زیرا به سرعت فاش و رفع شده است. این آسیبپذیری اهمیت ممیزی و آزمایش امنیتی برای پروژههای رمزنگاری، بهویژه پروژههایی که شامل مقادیر زیادی سرمایه هستند را برجسته میکند.