Cerca del desastre – tron es un cadena de bloques in Proof of Stake lanzado en 2017 al bifurcar el código de Ethereum. Con $ 5.6 mil millones en TVL, ocupa el segundo lugar entre los protocolos DeFi. Desafortunadamente, se ha descubierto una falla crítica que pone en riesgo 500 millones de dólares.
Un vacío legal de $ 500 millones en Tron
El 30 de mayo, el equipo de investigadores de ciberseguridad de dWallet Labs dio a conocer un falla crítica en el sistema multifirma de la red Tron.
Así, esta vulnerabilidad permite a cualquier signatarioeludir la seguridad que ofrecen los multisigs. Una falla que causó revuelo, pues se trata de más de 500 millones de dólares en criptomonedas.
Descubierta en febrero, la falla se informó el 19 de febrero de 2023 a través del programa de recompensas por errores de Tron.
Afortunadamente, la reacción de Tron fue rápida y efectiva. De hecho, los equipos de Tron han propuesto un parche en unos dias. Desde entonces, la mayoría de los validadores lo han aplicado, lo que permite corregir la falla en toda la red.
>> ¿Reducción del 10% en sus tarifas comerciales? Regístrese en Binance (enlace comercial) <
Detalle de vulnerabilidad
Para entender esta vulnerabilidad, es necesario entender la mecanismo multifirma en Tron.
Por ejemplo, tenemos tres claves autorizadas con un peso de 1, mientras que se requiere un umbral de 2. En otras palabras, se necesitan 2 de las 3 claves para firmar una transacción.
El proceso de verificación para transacciones multisig es el siguiente: se verifica cada firma, se verifica la singularidad de cada firma y se agrega el peso al peso total. Finalmente, las firmas se almacenan en la lista de firmas validadas para evitar una doble firma del mismo usuario.
Así, mediante esta verificación, la red se asegura de que no puede haber dos firmas válidas distintas para un mismo mensaje. Sin embargo, Tron verifica que las firmas sean únicas, pero no la unicidad de los firmantes.
Como resultado, un usuario malicioso podría generar varias firmas Para el mismo mensaje. Así, todas estas firmas serían consideradas válidas por la red, aunque hay varias.
Por lo tanto, dos escenarios de ataque son posibles:
- El primero permite realizar transacciones en cada billetera multisig para la cual el atacante tiene permiso (con al menos un peso de 1), independientemente del umbral.
- El segundo ataque es más sofisticado y no requiere permiso del atacante en la billetera. El usuario solo necesita un transacción parcialmente firmada por alguien que tiene permisospero no alcanzó el umbral.
Afortunadamente, Tron solucionó rápidamente el problema. Entonces, en lugar de comparar la firma con la lista de firmas, verifique la dirección firmada con la lista de direcciones.
Esta no es la primera vez que se descubre una falla crítica en un protocolo de cadena de bloques. De hecho, en marzo La compañía Halborn descubrió una falla que afecta a 280 cadenas de bloques, incluido Dogecoin..
Los hacks son peligros desafortunados, pero no inevitables. ¿Necesita tranquilidad para sus criptos? Regístrese rápidamente en la plataforma BinanceEL estándar de oro en la industria, y ahorre un 10% en sus tarifas comerciales siguiendo este enlace (enlace comercial).