Le bogue a été corrigé et aucun actif utilisateur n'est en danger.
Les chercheurs en sécurité ont révélé une vulnérabilité dans la blockchain TRON le 30 mai qui mettait auparavant en danger 500 millions de dollars dans la crypto-monnaie.
Un signataire peut avoir accédé à un compte multi-signatures
Une vulnérabilité critique du jour zéro dans la blockchain TRON rend les comptes multi-signatures vulnérables au vol, selon l'équipe de recherche 0d de dWallet Labs.
Comme son nom l'indique, les comptes multi-signatures doivent passer par plusieurs signatures avant qu'une transaction puisse être exécutée. Cependant, une vulnérabilité découverte dans TRON permettrait à tout signataire associé à un compte multisig donné d'accéder individuellement aux fonds de ce compte.
La négligence de TRON avec son approche multi-signature signifie que son processus de vérification ne vérifie pas toutes les informations nécessaires. Selon les chercheurs de 0d, ce type d'attaque permettrait de "supprimer complètement" la sécurité multi-signatures de TRON.
Omer Sadika, membre de l'équipe, a écrit :
"... le processus de vérification multi-signature aurait pu être contourné en signant le même message à l'aide d'un nombre aléatoire non déterministe... En bref, un seul signataire pourrait créer plusieurs signatures valides pour le même message."
Selon les chercheurs, la solution à ce problème est simple. Les signatures sont maintenant vérifiées par rapport à une liste d'adresses, et pas seulement à une liste de signatures.
Vulnérabilité signalée en février
L'équipe de recherche 0d a déclaré avoir signalé le problème via le programme de primes de bogues de TRON le 19 février. L'équipe a ajouté que TRON avait corrigé la vulnérabilité en quelques jours, et ils ont déclaré que la plupart des validateurs TRON sont désormais corrigés.
Dans une déclaration Twitter distincte, les chercheurs ont souligné qu'"aucun actif d'utilisateur n'est en danger" maintenant que la vulnérabilité a été corrigée.
TRON n'a pas encore publié sa propre déclaration publique.
Voir l'original
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
TRON évite une vulnérabilité multi-signature de 500 millions de dollars
Le bogue a été corrigé et aucun actif utilisateur n'est en danger.
Les chercheurs en sécurité ont révélé une vulnérabilité dans la blockchain TRON le 30 mai qui mettait auparavant en danger 500 millions de dollars dans la crypto-monnaie.
Un signataire peut avoir accédé à un compte multi-signatures
Une vulnérabilité critique du jour zéro dans la blockchain TRON rend les comptes multi-signatures vulnérables au vol, selon l'équipe de recherche 0d de dWallet Labs.
Comme son nom l'indique, les comptes multi-signatures doivent passer par plusieurs signatures avant qu'une transaction puisse être exécutée. Cependant, une vulnérabilité découverte dans TRON permettrait à tout signataire associé à un compte multisig donné d'accéder individuellement aux fonds de ce compte.
La négligence de TRON avec son approche multi-signature signifie que son processus de vérification ne vérifie pas toutes les informations nécessaires. Selon les chercheurs de 0d, ce type d'attaque permettrait de "supprimer complètement" la sécurité multi-signatures de TRON.
Omer Sadika, membre de l'équipe, a écrit :
"... le processus de vérification multi-signature aurait pu être contourné en signant le même message à l'aide d'un nombre aléatoire non déterministe... En bref, un seul signataire pourrait créer plusieurs signatures valides pour le même message."
Selon les chercheurs, la solution à ce problème est simple. Les signatures sont maintenant vérifiées par rapport à une liste d'adresses, et pas seulement à une liste de signatures.
Vulnérabilité signalée en février
L'équipe de recherche 0d a déclaré avoir signalé le problème via le programme de primes de bogues de TRON le 19 février. L'équipe a ajouté que TRON avait corrigé la vulnérabilité en quelques jours, et ils ont déclaré que la plupart des validateurs TRON sont désormais corrigés.
Dans une déclaration Twitter distincte, les chercheurs ont souligné qu'"aucun actif d'utilisateur n'est en danger" maintenant que la vulnérabilité a été corrigée.
TRON n'a pas encore publié sa propre déclaration publique.