Tron 的多重签名机制中的关键漏洞暴露了 5 亿美元的数字资产：报告

2023 年 5 月 30 日，来自 Dwallet Labs 的研究团队 0d 发布了一份报告，揭示了波场原生多重签名方案中的一个漏洞。该漏洞使多重签名帐户的任何签名者都可以绕过网络的安全措施，无论指定的阈值和签名者的数量如何。“这个漏洞影响了 Tron 多重签名账户中持有的超过 5 亿美元的数字资产，”0d 周二报道。

研究人员进一步表示，Tron 的开发人员于 2023 年 2 月 19 日收到了有关该错误的通知，并且程序员创建了一个补丁来解决该问题。0d 表示，Tron 的大多数验证者已经实施了补丁，以防止任何潜在的漏洞利用。网络安全研究团队透露：“我们通过 Tron 赏金计划获得了高危漏洞的赏金。”

0d 解释说，该漏洞起源于 Tron 网络内多重签名交易的验证过程。网络依赖于来自个人的相同消息的签名的唯一性。但是，由于 RFC 6979 中概述的签名生成过程的确定性，不可信的签名者可以利用各种随机数（随机数）为同一消息生成多个有效签名，同时使用相同的私钥。

Tron 多重签名机制漏洞的曝光与 Monero 区块链中隐私漏洞的发现不谋而合。据说这个漏洞在 Monero 网络上已经存在了三年，并且已经得到解决。在讨论 Tron 多重签名问题时，0d 研究员 Omer Sadika 解释说，随着修复的部署，5 亿美元现在是“安全的”。