TRON avoided $500M multisig vulnerability

TRON a évité une vulnérabilité multisig de 500 millions de dollars

ParCryptoFinder

Les chercheurs en sécurité ont révélé une vulnérabilité dans la blockchain TRON le 30 mai qui mettait auparavant en danger 500 millions de dollars de crypto.

Un signataire peut avoir accédé à des comptes multisig

L’équipe de recherche 0d des laboratoires dWallet a déclaré qu’une vulnérabilité critique du jour zéro dans la blockchain TRON laissait les comptes multisig ouverts au vol.

Les comptes multi-signatures doivent être signés par plusieurs signatures avant d’exécuter une transaction, comme leur nom l’indique. Cependant, la vulnérabilité trouvée dans TRON aurait permis à tout signataire associé à un compte multisig donné d’accéder à lui seul aux fonds de ce compte.

Les oublis dans l’approche de TRON en matière de multisig signifiaient que son processus de vérification ne vérifiait pas toutes les informations nécessaires. Cette ligne d’attaque aurait « complètement surmonté » la sécurité multisig de TRON, selon les chercheurs de 0d.

Membre de l’équipe Omer Sadika écrit:

” … Le processus de vérification multisig [could have been] contourné en signant le même message avec des nonces non déterministes… En termes simples, un signataire peut créer plusieurs signatures valides pour le même message.

La solution à ce problème était simple, selon les chercheurs. Les signatures sont maintenant vérifiées par rapport à une liste d’adresses, et pas seulement à une liste de signatures.

Une vulnérabilité a été signalée en février

L’équipe de recherche 0d a déclaré avoir signalé le problème via le programme de primes de bogues de TRON le 19 février. L’équipe a ajouté que TRON avait corrigé la vulnérabilité en quelques jours, et ils ont déclaré que la plupart des validateurs TRON étaient désormais corrigés.

Les chercheurs ont souligné dans une déclaration Twitter distincte qu ‘ »il n’y a aucun actif utilisateur à risque » maintenant que la vulnérabilité a été corrigée.

TRON n’a pas encore publié sa propre déclaration publique.

Le post TRON a évité une vulnérabilité multisig de 500 millions de dollars apparue en premier sur CryptoSlate.