Una empresa de seguridad descubre una vulnerabilidad de USD 500 millones en las cuentas multisig de Tron
Un equipo de investigación de dWallet Labs ha descubierto una vulnerabilidad de día cero en las cuentas multisig de Tron, que permite a un atacante eludir el mecanismo de firma múltiple y firmar transacciones con una sola firma.
En un post sobre el desglose técnico, el equipo de investigación dijo que la vulnerabilidad podría haber afectado a USD 500 millones en activos mantenidos en cuentas Tron multisig. Esto se debe a que permite a cualquier firmante “superar por completo la seguridad multisig ofrecida por TRON”.
0d, our superstar cybersecurity research team, discovered a vulnerability in TRON multisig accounts putting over $500M of digital assets at risk – it was disclosed and fixed so there are no user assets at risk now.
A technical breakdown:https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) May 30, 2023
0d, nuestro equipo superestrella de investigación en ciberseguridad, descubrió una vulnerabilidad en las cuentas multisig de TRON que ponía en riesgo más de USD 500 millones en activos digitales. Sin embargo, ya fue revelada y solucionada, por lo que ahora no hay activos de usuarios en riesgo. Un desglose técnico: https://t.co/nMj6kV6Oc3
Como su nombre indica, los monederos multifirma requieren múltiples firmantes definidos en una cuenta para aprobar transacciones y mover fondos, lo que permite la creación de cuentas conjuntas en criptomonedas. Cada firmante de la cuenta posee sus propias claves y la cuenta requiere un cierto umbral para aprobar las transacciones.
Según el equipo de investigación, la vulnerabilidad con la multisig de Tron permite generar muchas firmas válidas. Escriben:
“Podemos eludir el proceso de verificación multisig firmando el mismo mensaje con nonces no deterministas de nuestra elección. Al hacerlo, podremos generar muchas firmas válidas diferentes para el mismo mensaje mediante la misma clave privada.”
Según el equipo de ciberseguridad, Tron se asegura de que las firmas sean únicas en lugar de comprobar si los firmantes son únicos. Debido a esto, los firmantes pueden “votar dos veces” o firmar dos veces. Omer Sadika, CEO de dWallet Labs, dijo que la solución era sencilla: verificar la dirección en lugar del número de firmas.
Los investigadores señalaron que la vulnerabilidad se comunicó a Tron en febrero y se solucionó días después.
Cointelegraph se puso en contacto con Tron para hacer comentarios sobre la situación, pero no recibió respuesta.
En otras noticias, otro protocolo financiero descentralizado sufrió recientemente un exploit de USD 7.5 millones. El 28 de mayo, la firma de seguridad blockchain PeckShield informó que el protocolo Jimbos basado en Arbitrum fue hackeado, lo que resultó en la pérdida de 4,000 Ether (ETH).
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
Sigue leyendo:
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.