Tecnología.

TRON evitó una vulnerabilidad multisig de $ 500 millones

Hace 11 meses
Noticias de Bitcoin Ethereum

Los investigadores de seguridad revelaron una vulnerabilidad en la cadena de bloques de TRON el 30 de mayo que anteriormente ponía en riesgo USD 500 millones en criptomonedas.

Un firmante podría haber accedido a varias cuentas

El equipo de investigación de 0d en dWallet labs dijo que una vulnerabilidad crítica de día cero en la cadena de bloques de TRON dejó cuentas multisig abiertas al robo.

Las cuentas multi-sig deben estar firmadas por varias firmas antes de ejecutar una transacción, como sugiere el nombre. Sin embargo, la vulnerabilidad encontrada en TRON habría permitido que cualquier firmante asociado con cualquier cuenta multigrado accediera sin ayuda a los fondos dentro de esa cuenta.

Imagen

Los descuidos en el enfoque de TRON para multisig significaron que su proceso de verificación no verificó toda la información necesaria. Esta línea de ataque habría "superado por completo" la seguridad multisig de TRON, según los investigadores de 0d.

Miembro del equipo Omer Sadika escribí:

"... El proceso de verificación multisig [podría haber sido] evitado firmando el mismo mensaje con nonces no deterministas... En pocas palabras, un firmante puede crear varias firmas válidas para el mismo mensaje".

La solución a este problema fue simple, según los investigadores. Las firmas ahora se comparan con una lista de direcciones, no solo con una lista de firmas.

La vulnerabilidad fue reportada en febrero

El equipo de investigación de 0d dijo que informaron el problema a través del programa de recompensas por errores de TRON el 19 de febrero. El equipo agregó que TRON parchó la vulnerabilidad en días y dijo que la mayoría de los validadores de TRON ahora están parcheados.

Los investigadores enfatizaron en una declaración separada de Twitter que "no hay activos de usuario en riesgo" ahora que se solucionó la vulnerabilidad.

TRON aún no ha emitido su propia declaración pública.

La publicación TRON evitó una vulnerabilidad multisig de $ 500 millones apareció primero en CryptoSlate.

Fuente: https://cryptoslate.com/tron-avoided-500m-multisig-vulnerability/