Empresa de segurança descobre vulnerabilidade de US$ 500 milhões em contas multisig da Tron

Depois de relatar a vulnerabilidade ao Tron em fevereiro, os pesquisadores destacaram que o problema foi prontamente tratado e resolvido em poucos dias.

Uma equipe de pesquisa da dWallet Labs descobriu uma vulnerabilidade zero-day nas contas multisig da Tron, permitindo que um invasor contorne o mecanismo de múltiplas assinaturas e assine transações com uma única assinatura.

Em uma postagem de análise técnica, a equipe de pesquisa disse que a vulnerabilidade poderia ter impactado US$ 500 milhões em ativos mantidos em contas multisig da Tron. Isso ocorre porque permite que qualquer signatário “supere completamente a segurança multisig oferecida pela TRON”.

0d, nossa equipe superstar de pesquisa de cibersegurança, descobriu uma vulnerabilidade nas contas multisig da TRON, colocando mais de US$ 500M de ativos digitais em risco – foi divulgada e corrigida, portanto, não há ativos do usuário em risco agora.

Uma análise técnica: https://t.co/nMj6kV6Oc3

– dWallet Labs (@dWalletLabs) 30 de maio de 2023

Como o nome sugere, carteiras de múltiplas assinaturas exigem que vários signatários definidos em uma conta aprovem transações e movam fundos, permitindo a criação de contas conjuntas em criptomoedas. Cada signatário da conta tem suas próprias chaves e a conta requer um certo limite para aprovar transações.

De acordo com a equipe de pesquisa, a vulnerabilidade com a multisig da Tron permite gerar muitas assinaturas válidas. Eles escreveram:

“Podemos contornar o processo de verificação multisig assinando a mesma mensagem com nonces não determinísticos de nossa escolha. Fazendo isso, seremos capazes de gerar muitas assinaturas diferentes válidas para a mesma mensagem pela mesma chave privada.”

Segundo a equipe de cibersegurança, a Tron garante que as assinaturas sejam únicas, em vez de verificar se os signatários são únicos. Por causa disso, os signatários podem potencialmente “votar duas vezes” ou assinar duas vezes. Omer Sadika, CEO da dWallet Labs, disse que a correção foi simples: verificar o endereço em vez do número de assinaturas.

Os pesquisadores notaram que a vulnerabilidade foi relatada ao Tron em fevereiro e corrigida dias depois.

• Conflito entre Justin Sun e CEO da Binance sobre Sui LaunchPool resulta em desculpas públicas

O Cointelegraph entrou em contato com a Tron para comentários, mas não recebeu uma resposta.

Em outras notícias, outro protocolo de finanças descentralizado sofreu recentemente um ataque de US$ 7,5 milhões. Em 28 de maio, a empresa de segurança de blockchain PeckShield relatou que o protocolo Jimbos baseado em Arbitrum foi hackeado, resultando na perda de 4.000 Ether (ETH).

VEJA MAIS:

• Exchange SatoshiTango e brasileira Remessa Online são finalistas da versão latinoamericana do Visa Everywhere Initiative 2021

• Mercado de criptomoedas é grande demais para existir fora das políticas públicas, alerta o presidente da SEC

   

• Em queda: Bitcon despenca 5% e especialistas apontam suporte crítico em US$ 6.512