Un equipo de investigación de dWallet Labs ha descubierto una vulnerabilidad de día cero en las cuentas multisig de Tron, que permite a un atacante eludir el mecanismo de firma múltiple y firmar transacciones con una sola firma.
En un post sobre el desglose técnico, el equipo de investigación dijo que la vulnerabilidad podría haber afectado a USD 500 millones en activos mantenidos en cuentas Tron multisig. Esto se debe a que permite a cualquier firmante "superar por completo la seguridad multisig ofrecida por TRON".
0d, our superstar cybersecurity research team, discovered a vulnerability in TRON multisig accounts putting over $500M of digital assets at risk - it was disclosed and fixed so there are no user assets at risk now.
— dWallet Labs (@dWalletLabs) May 30, 2023
A technical breakdown:https://t.co/nMj6kV6Oc3
0d, nuestro equipo superestrella de investigación en ciberseguridad, descubrió una vulnerabilidad en las cuentas multisig de TRON que ponía en riesgo más de USD 500 millones en activos digitales. Sin embargo, ya fue revelada y solucionada, por lo que ahora no hay activos de usuarios en riesgo. Un desglose técnico: https://t.co/nMj6kV6Oc3
Como su nombre indica, los monederos multifirma requieren múltiples firmantes definidos en una cuenta para aprobar transacciones y mover fondos, lo que permite la creación de cuentas conjuntas en criptomonedas. Cada firmante de la cuenta posee sus propias claves y la cuenta requiere un cierto umbral para aprobar las transacciones.
Según el equipo de investigación, la vulnerabilidad con la multisig de Tron permite generar muchas firmas válidas. Escriben:
“Podemos eludir el proceso de verificación multisig firmando el mismo mensaje con nonces no deterministas de nuestra elección. Al hacerlo, podremos generar muchas firmas válidas diferentes para el mismo mensaje mediante la misma clave privada.”
Según el equipo de ciberseguridad, Tron se asegura de que las firmas sean únicas en lugar de comprobar si los firmantes son únicos. Debido a esto, los firmantes pueden "votar dos veces" o firmar dos veces. Omer Sadika, CEO de dWallet Labs, dijo que la solución era sencilla: verificar la dirección en lugar del número de firmas.
Los investigadores señalaron que la vulnerabilidad se comunicó a Tron en febrero y se solucionó días después.
Cointelegraph se puso en contacto con Tron para hacer comentarios sobre la situación, pero no recibió respuesta.
En otras noticias, otro protocolo financiero descentralizado sufrió recientemente un exploit de USD 7.5 millones. El 28 de mayo, la firma de seguridad blockchain PeckShield informó que el protocolo Jimbos basado en Arbitrum fue hackeado, lo que resultó en la pérdida de 4,000 Ether (ETH).
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
- Bitcoin puede aportar "causa y consecuencia al ciberespacio" y reforzar la seguridad - Michael Saylor
- Otro monedero inactivo de Ethereum revive tras 8 años y mueve millones
- El control de gobierno de Tornado Cash se restaurará cuando los votantes aprueben la propuesta
- Twitter se vuelve loco por el lanzamiento de Bitcoin Cash en Coinbase
- Evolución de la cadena de bloques en Suiza: Voto y Banca
- Oro vs Bitcoin: Debate entre Peter Schiff y Anthony Pompliano
- Wintermute mueve más de USD 4 millones en tokens Optimism a Binance antes del desbloqueo de OP