Pesquisadores de segurança divulgaram uma vulnerabilidade no blockchain TRON em 30 de maio, que anteriormente colocava US$ 500 milhões em cripto em risco.
Um signatário pode ter acessado contas multisig
A equipe de pesquisa 0d nos laboratórios dWallet disse que uma vulnerabilidade crítica de dia zero no blockchain TRON deixou as contas multisig abertas ao roubo.
As contas multi-sig devem ser assinadas por várias assinaturas antes de executarem uma transação, como o nome sugere. No entanto, a vulnerabilidade encontrada no TRON permitiria que qualquer assinante associado a qualquer conta multisig acessasse sozinho os fundos dessa conta.
Descuidos na abordagem do TRON para multisig significavam que seu processo de verificação não verificava todas as informações necessárias. Essa linha de ataque teria “superado completamente” a segurança multisig do TRON, de acordo com os pesquisadores da 0d.
Membro da equipe Omer Sadika escreveu:
” … O processo de verificação multisig [poderia ter sido] ignorado ao assinar a mesma mensagem com nonces não determinísticos… Simplificando, um signatário pode criar várias assinaturas válidas para a mesma mensagem.”
A solução para esse problema foi simples, segundo os pesquisadores. As assinaturas agora são verificadas em uma lista de endereços, não apenas uma lista de assinaturas.
Vulnerabilidade foi relatada em fevereiro
A equipe de pesquisa 0d disse que relatou o problema por meio do programa de recompensas de bugs do TRON em 19 de fevereiro. A equipe acrescentou que o TRON corrigiu a vulnerabilidade em dias e disse que a maioria dos validadores do TRON agora está corrigida.
Os pesquisadores enfatizaram em uma declaração separada no Twitter que “não há ativos de usuários em risco” agora que a vulnerabilidade foi corrigida.
TRON ainda não emitiu sua própria declaração pública.
O post TRON evitou a vulnerabilidade multisig de US$ 500 milhões apareceu primeiro em CryptoSlate.
Fonte: https://cryptoslate.com/tron-avoided-500m-multisig-vulnerability/