Una empresa de seguridad descubre una vulnerabilidad de USD 500 millones en las cuentas multisig de Tron

Una empresa de seguridad descubre una vulnerabilidad de USD 500 millones en las cuentas multisig de Tron

#crypto #cryptomonedas #bitcoin

Un equipo de investigación de dWallet Labs ha descubierto una vulnerabilidad de día cero en las cuentas multisig de Tron, que permite a un atacante eludir el mecanismo de firma múltiple y firmar transacciones con una sola firma.

En un post sobre el desglose técnico, el equipo de investigación dijo que la vulnerabilidad podría haber afectado a USD 500 millones en activos mantenidos en cuentas Tron multisig. Esto se debe a que permite a cualquier firmante "superar por completo la seguridad multisig ofrecida por TRON".

Como su nombre indica, los monederos multifirma requieren múltiples firmantes definidos en una cuenta para aprobar transacciones y mover fondos, lo que permite la creación de cuentas conjuntas en criptomonedas. Cada firmante de la cuenta posee sus propias claves y la cuenta requiere un cierto umbral para aprobar las transacciones.

Según el equipo de investigación, la vulnerabilidad con la multisig de Tron permite generar muchas firmas válidas. Escriben:

“Podemos eludir el proceso de verificación multisig firmando el mismo mensaje con nonces no deterministas de nuestra elección. Al hacerlo, podremos generar muchas firmas válidas diferentes para el mismo mensaje mediante la misma clave privada.”

Según el equipo de ciberseguridad, Tron se asegura de que las firmas sean únicas en lugar de comprobar si los firmantes son únicos. Debido a esto, los firmantes pueden "votar dos veces" o firmar dos veces. Omer Sadika, CEO de dWallet Labs, dijo que la solución era sencilla: verificar la dirección en lugar del número de firmas.

Sadika habló de la vulnerabilidad en un hilo. Fuente: Twitter

Los investigadores señalaron que la vulnerabilidad se comunicó a Tron en febrero y se solucionó días después.

Cointelegraph se puso en contacto con Tron para hacer comentarios sobre la situación, pero no recibió respuesta.

En otras noticias, otro protocolo financiero descentralizado sufrió recientemente un exploit de USD 7.5 millones. El 28 de mayo, la firma de seguridad blockchain PeckShield informó que el protocolo Jimbos basado en Arbitrum fue hackeado, lo que resultó en la pérdida de 4,000 Ether (ETH).

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión

Sigue leyendo:

Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.


source
Según es.cointelegraph.com

Comments

No comments yet. Why don’t you start the discussion?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *