Des chercheurs en sécurité ont récemment révélé une vulnérabilité critique du jour zéro dans la blockchain TRON qui pourrait potentiellement exposer 500 millions de dollars de crypto-monnaie au vol.
La vulnérabilité, découverte par l'équipe de recherche 0d des laboratoires dWallet, ciblait spécifiquement les comptes multisig sur la blockchain TRON.
Les comptes multisig nécessitent plusieurs signatures pour autoriser une transaction. Cependant, la faille dans l'approche multisig de TRON permettait à tout signataire associé à un compte multisig particulier d'accéder aux fonds de ce compte de manière indépendante, sans nécessiter l'approbation des autres signataires.
Cette omission dans le processus de vérification de TRON a permis à l'attaque de contourner entièrement la sécurité multisig de la blockchain.
Omer Sadika, membre de l'équipe de recherche 0d, a expliqué :
"Le processus de vérification multisig aurait pu être contourné en signant le même message avec des nonces non déterministes... En termes simples, un signataire peut créer plusieurs signatures valides pour le même message."
La solution à cette vulnérabilité critique était relativement simple, car les signatures sont désormais vérifiées par rapport à une liste d'adresses plutôt que de s'appuyer uniquement sur une liste de signatures.
La réponse rapide de TRON à la faille de sécurité multisig
L'équipe de recherche 0d a rapidement signalé la vulnérabilité via le programme Bug Bounty de TRON le 19 février. TRON a rapidement corrigé la vulnérabilité en quelques jours, et les chercheurs ont confirmé que la plupart des validateurs TRON avaient implémenté les correctifs nécessaires.
Dans une déclaration séparée sur Twitter, les chercheurs ont souligné qu'aucun actif d'utilisateur n'est actuellement en danger depuis que la vulnérabilité a été résolue avec succès.
Pour l'instant, TRON n'a pas publié sa déclaration publique concernant l'incident.
Vulnérabilités plus récentes
Le dernier développement coïncide avec la découverte d'une importante vulnérabilité de confidentialité au sein de la blockchain Monero. Notamment, le bogue Monero est resté non détecté sur le réseau pendant plus de trois ans avant d'être identifié et rapidement résolu.
Dans un autre coup porté au secteur DeFi, le protocole Jimbos, construit sur le réseau Arbitrum, a été victime d'un grave exploit entraînant la perte de 4,000 XNUMX Ether, ce qui équivaut à environ 7.5 millions de dollars.
Les développements récents soulignent l'importance de mesures de sécurité rigoureuses et de processus d'audit approfondis dans les technologies blockchain. L'identification et la résolution rapides des vulnérabilités sont essentielles pour maintenir la sécurité et l'intégrité des réseaux de crypto-monnaie.
Source : https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/