Un team di ricerca di dWallet Labs ha rilevato una vulnerabilità zero-day negli account Tron multisig, che avrebbe consentito ad un hacker di bypassare il meccanismo di multisignature e siglare le transazioni con un'unica firma.
In un post di approfondimento tecnico, il team di ricerca ha dichiarato che la vulnerabilità avrebbe potuto coinvolgere 500 milioni di dollari di asset detenuti negli account Tron multisig, consentendo a qualsiasi firmatario di "superare completamente la sicurezza multisig offerta da TRON".
0d, il nostro team di ricerca sulla cybersicurezza, ha rilevato una vulnerabilità negli account multisig di TRON che metteva a rischio oltre 500 milioni di dollari di asset digitali; la vulnerabilità è stata comunicata e risolta, quindi ora non ci sono asset degli utenti a rischio.
Dettagli tecnici:
0d, our superstar cybersecurity research team, discovered a vulnerability in TRON multisig accounts putting over $500M of digital assets at risk - it was disclosed and fixed so there are no user assets at risk now.
— dWallet Labs (@dWalletLabs) May 30, 2023
A technical breakdown:https://t.co/nMj6kV6Oc3
Come si evince dal nome, i wallet multisignature richiedono più firmatari definiti in un account per approvare le transazioni e spostare i fondi, consentendo la creazione di conti congiunti in criptovalute. Ogni firmatario detiene le proprie chiavi e il conto richiede una certa soglia per l'approvazione delle transazioni.
Secondo il team di ricerca, la vulnerabilità del multisig di Tron consentiva di generare molte firme valide. Il team ha infatti riportato quanto segue:
"Possiamo aggirare il processo di verifica multisig firmando lo stesso messaggio con nonces non deterministici di nostra scelta. Così facendo, saremo in grado di generare molte firme diverse valide per lo stesso messaggio con la stessa chiave privata".
Secondo il team di cybersicurezza, Tron assicurava che le firme fossero uniche, ma non verificava se lo erano i firmatari. Per tale motivo, i firmatari potevano potenzialmente "votare" o firmare due volte. Omer Sadika, che collabora con dWallet Labs, ha dichiarato che la soluzione è stata semplice: verificare l'indirizzo invece del numero di firme.
I ricercatori hanno evidenziato come la vulnerabilità sia stata segnalata a Tron a febbraio e risolta pochi giorni dopo.
Cointelegraph ha contattato Tron per un commento, ma senza ricevere una risposta.
In altre circostanze, un altro protocollo di finanza decentralizzata ha recentemente subito un exploit da 7,5 milioni di dollari. Il 28 maggio, la società di sicurezza blockchain PeckShield ha riferito che il protocollo Jimbos, basato su Arbitrum, è stato violato, causando la perdita di 4.000 Ether (ETH).
Traduzione a cura di Walter Rizzo