Uma equipe de pesquisa da dWallet Labs descobriu uma vulnerabilidade zero-day nas contas multisig da Tron, permitindo que um invasor contorne o mecanismo de múltiplas assinaturas e assine transações com uma única assinatura.
Em uma postagem de análise técnica, a equipe de pesquisa disse que a vulnerabilidade poderia ter impactado US$ 500 milhões em ativos mantidos em contas multisig da Tron. Isso ocorre porque permite que qualquer signatário “supere completamente a segurança multisig oferecida pela TRON”.
0d, nossa equipe superstar de pesquisa de cibersegurança, descobriu uma vulnerabilidade nas contas multisig da TRON, colocando mais de US$ 500M de ativos digitais em risco – foi divulgada e corrigida, portanto, não há ativos do usuário em risco agora.
Uma análise técnica: https://t.co/nMj6kV6Oc3
– dWallet Labs (@dWalletLabs) 30 de maio de 2023
Como o nome sugere, carteiras de múltiplas assinaturas exigem que vários signatários definidos em uma conta aprovem transações e movam fundos, permitindo a criação de contas conjuntas em criptomoedas. Cada signatário da conta tem suas próprias chaves e a conta requer um certo limite para aprovar transações.
De acordo com a equipe de pesquisa, a vulnerabilidade com a multisig da Tron permite gerar muitas assinaturas válidas. Eles escreveram:
“Podemos contornar o processo de verificação multisig assinando a mesma mensagem com nonces não determinísticos de nossa escolha. Fazendo isso, seremos capazes de gerar muitas assinaturas diferentes válidas para a mesma mensagem pela mesma chave privada.”
Segundo a equipe de cibersegurança, a Tron garante que as assinaturas sejam únicas, em vez de verificar se os signatários são únicos. Por causa disso, os signatários podem potencialmente “votar duas vezes” ou assinar duas vezes. Omer Sadika, CEO da dWallet Labs, disse que a correção foi simples: verificar o endereço em vez do número de assinaturas.
Os pesquisadores notaram que a vulnerabilidade foi relatada ao Tron em fevereiro e corrigida dias depois.
O Cointelegraph entrou em contato com a Tron para comentários, mas não recebeu uma resposta.
Em outras notícias, outro protocolo de finanças descentralizado sofreu recentemente um ataque de US$ 7,5 milhões. Em 28 de maio, a empresa de segurança de blockchain PeckShield relatou que o protocolo Jimbos baseado em Arbitrum foi hackeado, resultando na perda de 4.000 Ether (ETH).
VEJA MAIS:
Oliver Andrade é jornalista, empreendedor e uma das vozes mais ativas do ecossistema cripto brasileiro. Aos 32 anos, casado e pai, concilia a vida pessoal com uma trajetória intensa no mercado de ativos digitais que começou em 2020 — quando...
