Une équipe de recherche de dWallet Labs a découvert une vulnérabilité zero-day dans les comptes multisig de Tron, permettant à un attaquant de contourner le mécanisme de multisignature et de signer des transactions avec une seule signature.
Dans un message de panne technique, l'équipe de recherche a déclaré que la vulnérabilité aurait pu affecter 500 millions de dollars d'actifs détenus dans les comptes Tron multisig. En effet, cela permet à tout signataire de "surmonter complètement la sécurité multisig offerte par TRON".
0d, notre équipe de recherche superstar en cybersécurité, a découvert une vulnérabilité dans les comptes multisig TRON mettant en danger plus de 500 millions de dollars d'actifs numériques - elle a été divulguée et corrigée afin qu'il n'y ait plus d'actifs utilisateur à risque maintenant.
Une panne technique : https://t.co/nMj6kV6Oc3
– dWallet Labs (@dWalletLabs) 30 mai 2023
Comme son nom l'indique, les portefeuilles multisignatures nécessitent plusieurs signataires définis dans un compte pour approuver les transactions et déplacer des fonds, permettant la création de comptes joints en crypto. Chaque signataire de compte détient ses propres clés et le compte nécessite un certain seuil pour approuver les transactions.
Selon l'équipe de recherche, la vulnérabilité du multisig de Tron permet de générer de nombreuses signatures valides. Ils ont écrit:
« Nous pouvons contourner le processus de vérification multisig en signant le même message avec des nonces non déterministes de notre choix. Ce faisant, nous pourrons générer de nombreuses signatures différentes valides pour le même message avec la même clé privée.
Selon l'équipe de cybersécurité, Tron garantit que les signatures sont uniques au lieu de vérifier si les signataires sont uniques. Pour cette raison, les signataires peuvent potentiellement "doubler de vote" ou signer deux fois. Omer Sadika, PDG de dWallet Labs, a déclaré que la solution était simple : vérifiez l'adresse au lieu du nombre de signatures.
Les chercheurs ont noté que la vulnérabilité avait été signalée à Tron en février et corrigée quelques jours après.
Connexe: Justin Sun présente des excuses après les affrontements entre Sui LaunchPool et le PDG de Binance
Cointelegraph a contacté Tron pour des commentaires mais n'a pas reçu de réponse.
Dans d'autres nouvelles, un autre protocole de financement décentralisé a récemment subi un exploit de 7.5 millions de dollars. Le 28 mai, la société de sécurité blockchain PeckShield a signalé que le protocole Jimbos basé sur Arbitrum avait été piraté, entraînant la perte de 4,000 XNUMX Ether (ETH).
Magazine: Les États-Unis et la Chine tentent d'écraser Binance, la demande de pot-de-vin de 40 millions de dollars de SBF
Source : https://cointelegraph.com/news/tron-multisig-accounts-vulnerability-discover-by-security-team