O bug foi corrigido e nenhum ativo do usuário está em risco.
Pesquisadores de segurança divulgaram uma vulnerabilidade no blockchain TRON em 30 de maio que anteriormente colocava em risco US$ 500 milhões na criptomoeda.
Um signatário pode ter acessado uma conta com várias assinaturas
Uma vulnerabilidade crítica de dia zero no blockchain TRON torna as contas de assinatura múltipla vulneráveis a roubo, de acordo com a equipe de pesquisa 0d do dWallet Labs.
Como o nome sugere, as contas com várias assinaturas devem passar por várias assinaturas antes que uma transação possa ser executada. No entanto, uma vulnerabilidade descoberta no TRON permitiria que qualquer assinante associado a qualquer conta multisig acessasse individualmente os fundos dessa conta.
A negligência do TRON com sua abordagem de assinatura múltipla significa que seu processo de verificação não verifica todas as informações necessárias. De acordo com os pesquisadores da 0d, esse tipo de ataque “superaria completamente” a segurança de assinatura múltipla do TRON.
O membro da equipe Omer Sadika escreveu:
“…o processo de verificação de múltiplas assinaturas poderia ter sido contornado pela assinatura da mesma mensagem usando um número aleatório não determinístico…Resumindo, um único signatário poderia criar múltiplas assinaturas válidas para a mesma mensagem.”
Segundo os pesquisadores, a solução para esse problema é simples. As assinaturas agora são verificadas em uma lista de endereços, não apenas uma lista de assinaturas.
Vulnerabilidade relatada em fevereiro
A equipe de pesquisa 0d disse que relatou o problema por meio do programa de recompensas de bugs do TRON em 19 de fevereiro. A equipe acrescentou que o TRON corrigiu a vulnerabilidade em alguns dias e afirmou que a maioria dos validadores do TRON agora está corrigida.
Em uma declaração separada no Twitter, os pesquisadores enfatizaram que “nenhum ativo do usuário está em risco” agora que a vulnerabilidade foi corrigida.
TRON ainda não emitiu uma declaração pública própria.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
