El 30 de mayo, los investigadores de seguridad del equipo de investigación 0d de dWallet Labs revelaron una vulnerabilidad en la cadena de bloques TRON que podría haber comprometido $500 millones en criptomonedas. La vulnerabilidad afectó a las cuentas multisig en la cadena de bloques TRON, lo que permitió que cualquier firmante conectado a una cuenta multisig tuviera acceso a los fondos de esa cuenta sin necesidad de varias firmas.
Las cuentas multisig, como sugiere el nombre, requieren varias firmas antes de que se pueda realizar una transacción. Sin embargo, la supervisión en el enfoque multisig de TRON resultó en un proceso de verificación que no verificó toda la información requerida, lo que resultó en una vulnerabilidad crítica de día cero. Los investigadores de 0d descubrieron que al firmar el mismo mensaje con nonces no deterministas, un firmante podría crear varias firmas válidas para el mismo mensaje, evitando así el proceso de verificación multisig.
Alto Omer Sadika, miembro del equipo de investigación, esta vulnerabilidad habría comprometido por completo la seguridad multisig de TRON. Sin embargo, la solución a este problema era relativamente simple. Para garantizar una verificación adecuada, los investigadores recomendaron verificar las firmas con una lista de direcciones en lugar de solo una lista de firmas.
El equipo de investigación de 0d informó sobre la vulnerabilidad el 19 de febrero a través del programa de recompensas por errores de TRON. TRON reaccionó rápidamente y solucionó la vulnerabilidad a los pocos días del informe. Los investigadores afirmaron que la mayoría de los validadores de TRON ya han aplicado el parche. También aseguraron al público que después de que se corrigiera la vulnerabilidad, ningún recurso del usuario estaría en riesgo.
Hasta el momento, TRON no ha publicado su propia declaración pública sobre la vulnerabilidad. Sin embargo, las acciones rápidas que tomó TRON para cerrar la vulnerabilidad y la aplicación del parche por parte de la mayoría de los validadores indican que se tomaron medidas para abordar el problema y proteger los activos de los usuarios.
En resumen, el equipo de investigación de 0d ha descubierto una vulnerabilidad en las cuentas multisig de la cadena de bloques TRON. Esta vulnerabilidad podría potencialmente robar $ 500 millones en criptomonedas. Sin embargo, TRON parchó la vulnerabilidad rápidamente después de que se informara a través de su programa de recompensas por errores, y la mayoría de los validadores aplicaron el parche. La vulnerabilidad se ha solucionado y actualmente ningún recurso de usuario está en riesgo.
Fuente de la imagen: Pixabay
