Un team di ricerca di dWallet Labs ha scoperto una vulnerabilità zero-day negli account multisig di Tron, che consente a un utente malintenzionato di aggirare il meccanismo multifirma e firmare transazioni con un'unica firma.
In un post di guasto tecnico, il team di ricerca ha affermato che la vulnerabilità potrebbe aver avuto un impatto su 500 milioni di dollari di asset detenuti nei conti multisig di Tron. Questo perché consente a qualsiasi firmatario di "superare completamente la sicurezza multisig offerta da TRON".
0d, il nostro superstar team di ricerca sulla sicurezza informatica, ha scoperto una vulnerabilità negli account multisig di TRON che mette a rischio oltre 500 milioni di dollari di risorse digitali: è stata divulgata e corretta, quindi non ci sono risorse utente a rischio ora.
Un guasto tecnico: https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) 30 Maggio 2023
Come suggerisce il nome, i portafogli multisignature richiedono più firmatari definiti in un account per approvare le transazioni e spostare fondi, consentendo la creazione di conti congiunti in criptovalute. Ogni firmatario dell'account detiene le proprie chiavi e l'account richiede una determinata soglia per l'approvazione delle transazioni.
Secondo il team di ricerca, la vulnerabilità con il multisig di Tron consente di generare molte firme valide. Scrissero:
“Possiamo aggirare il processo di verifica multisig firmando lo stesso messaggio con nonce non deterministici di nostra scelta. In questo modo, saremo in grado di generare molte firme diverse valide per lo stesso messaggio con la stessa chiave privata”.
Secondo il team di sicurezza informatica, Tron garantisce che le firme siano uniche invece di verificare se i firmatari sono unici. Per questo motivo, i firmatari possono potenzialmente "raddoppiare il voto" o firmare due volte. Omer Sadika, CEO di dWallet Labs, ha affermato che la soluzione era semplice: verificare l'indirizzo anziché il numero di firme.
I ricercatori hanno notato che la vulnerabilità è stata segnalata a Tron a febbraio e risolta giorni dopo.
Correlato: Justin Sun si scusa dopo che Sui LaunchPool si è scontrato con il CEO di Binance
Cointelegraph ha contattato Tron per un commento, ma non ha ricevuto risposta.
In altre notizie, un altro protocollo di finanza decentralizzata ha recentemente subito un exploit da 7.5 milioni di dollari. Il 28 maggio, la società di sicurezza blockchain PeckShield ha riferito che il protocollo Jimbos basato su Arbitrum è stato violato, con conseguente perdita di 4,000 Ether (ETH).
Magazine: Stati Uniti e Cina cercano di schiacciare Binance, la richiesta di tangenti da $ 40 milioni di SBF
Fonte: https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discovered-by-security-team