Pesquisadores de segurança divulgaram recentemente uma vulnerabilidade crítica de dia zero no blockchain TRON que poderia potencialmente expor $ 500 milhões em criptomoedas a roubo.
A vulnerabilidade, descoberta pela equipe de pesquisa 0d nos laboratórios dWallet, visava especificamente contas multisig no blockchain TRON.
As contas multisig requerem várias assinaturas para autorizar uma transação. No entanto, a falha na abordagem do TRON para multisig permitia que qualquer signatário associado a uma conta multisig específica obtivesse acesso aos fundos dessa conta de forma independente, sem exigir a aprovação de outros signatários.
Essa supervisão no processo de verificação do TRON permitiu que o ataque contornasse totalmente a segurança multisig do blockchain.
Omer Sadika, membro da equipe de pesquisa 0d, explicou:
“O processo de verificação multisig poderia ter sido ignorado ao assinar a mesma mensagem com nonces não determinísticos… Simplificando, um signatário pode criar várias assinaturas válidas para a mesma mensagem.”
A solução para essa vulnerabilidade crítica foi relativamente direta, já que as assinaturas agora são verificadas em uma lista de endereços, em vez de depender apenas de uma lista de assinaturas.
A resposta rápida do TRON à falha de segurança multisig
A equipe de pesquisa 0d relatou prontamente a vulnerabilidade por meio do programa de recompensas de bugs do TRON em 19 de fevereiro. O TRON corrigiu rapidamente a vulnerabilidade em poucos dias e os pesquisadores confirmaram que a maioria dos validadores do TRON havia implementado os patches necessários.
Em uma declaração separada no Twitter, os pesquisadores enfatizaram que nenhum ativo do usuário está atualmente em risco desde que a vulnerabilidade foi resolvida com sucesso.
A partir de agora, o TRON não emitiu sua declaração pública sobre o incidente.
Vulnerabilidades mais recentes
O desenvolvimento mais recente coincide com a descoberta de uma vulnerabilidade de privacidade significativa no blockchain Monero. Notavelmente, o bug do Monero permaneceu sem ser detectado na rede por mais de três anos antes de ser identificado e prontamente resolvido.
Em mais um golpe no setor DeFi, o protocolo Jimbos, construído na rede Arbitrum, foi vítima de uma exploração severa que resultou na perda de 4,000 Ether, equivalente a aproximadamente $ 7.5 milhões.
Os desenvolvimentos recentes destacam a importância de medidas de segurança rigorosas e processos de auditoria completos em tecnologias blockchain. Identificar e lidar com vulnerabilidades rapidamente é crucial para manter a segurança e a integridade das redes de criptomoedas.
Fonte: https://crypto.news/security-firm-exposes-500m-vulnerability-in-trons-multisig-accounts/