{"id":64122,"date":"2023-05-31T14:23:27","date_gmt":"2023-05-31T14:23:27","guid":{"rendered":"

Investigadores de seguridad del equipo de investigaci\u00f3n 0d en dWallet Labs han reve"},"modified":"2023-05-31T16:54:48","modified_gmt":"2023-05-31T16:54:48","slug":"vulnerabilidad-en-multisig-de-tron-puso-en-peligro-500-millones-en-activos-digitales","status":"publish","type":"post","link":"https:\/\/crypto-economy.com\/es\/vulnerabilidad-en-multisig-de-tron-puso-en-peligro-500-millones-en-activos-digitales\/","title":{"rendered":"Vulnerabilidad en Multisig de Tron Puso en Peligro $500 Millones en Activos Digitales"},"content":{"rendered":"

Investigadores de seguridad del equipo de investigaci\u00f3n 0d en dWallet Labs han revelado<\/a> recientemente una vulnerabilidad cr\u00edtica del tipo zero-day (D\u00eda 0, o en el d\u00eda inicial) en la blockchain TRON que representa un riesgo significativo para alrededor de $500 millones en criptomonedas. Esta vulnerabilidad afect\u00f3 a las cuentas multisig en la blockchain TRON<\/a>, dej\u00e1ndolas susceptibles a posibles robos<\/strong>.<\/p>\n

Las cuentas multisig<\/a> requieren m\u00faltiples firmas antes de ejecutar una transacci\u00f3n, lo que asegura una mayor seguridad. Sin embargo, la falla en el enfoque de TRON para el multisig permiti\u00f3 que cualquier firmante asociado con una cuenta multisig particular obtuviera acceso no autorizado<\/strong> a los fondos dentro de esa cuenta.<\/p>\n

COMPRENDIENDO EL MECANISMO MULTISIG DE TRON<\/h2>\n

Para entender esta vulnerabilidad, es esencial conocer c\u00f3mo se emplea el mecanismo de permisos en TRON para habilitar wallets multisig. En la red de TRON, las wallets multisig consisten en claves autorizadas con pesos asignados<\/strong>. El peso determina el poder del firmante al votar y un umbral especifica el peso m\u00ednimo requerido para la aprobaci\u00f3n de la transacci\u00f3n.<\/p>\n

El proceso de verificaci\u00f3n para las transacciones multisig implica varios pasos. Se verifican las firmas y se extrae el peso de la cuenta. Se verifica la singularidad de la firma para evitar firmas dobles. Se suma el peso al peso total y se almacena la firma para evitar firmas duplicadas. Finalmente, se compara el peso total con el umbral para determinar la aprobaci\u00f3n de la transacci\u00f3n<\/strong>.<\/p>\n

\"COMPRENDIENDO<\/p>\n

Sin embargo, la vulnerabilidad surgi\u00f3 debido a descuidos en el proceso de verificaci\u00f3n de TRON, que no verific\u00f3 toda la informaci\u00f3n necesaria, comprometiendo en \u00faltima instancia la integridad de su seguridad multisig. Los investigadores 0d afirmaron que esta l\u00ednea de ataque habr\u00eda superado por completo las medidas de seguridad de multisig de TRON<\/strong>.<\/p>\n

UN SOLO FIRMANTE PODR\u00cdA ACCEDER A CUENTAS MULTISIG<\/h2>\n

Omer Sadika, miembro del equipo de investigaci\u00f3n, explic\u00f3 que la vulnerabilidad podr\u00eda haber sido explotada firmando el mismo mensaje con n\u00famero usado solo una vez (Nonce en ingles) no deterministas, lo que permitir\u00eda a un solo firmante crear m\u00faltiples firmas v\u00e1lidas para el mismo mensaje.<\/strong><\/p>\n

\n

7\/ Well, verifiers cannot distinguish randomly chosen from deterministic nonces, so the multisig verification process can be bypassed by signing the same message with non-deterministic nonces.<\/p>\n

Simply put, one signer can create multiple valid signatures for the same message.<\/p>\n

— Omer Sadika (@omersadika) May 30, 2023<\/a><\/p><\/blockquote>\n