Ce problème révélé en février a par la suite été rapidement traité par les équipes de Tron.
Le mutli-sig contourné
Une faille de grande ampleur découverte sur Tron. C’est l’équipe de recherche de dWallets Labs qui a découvert cette faille. Il s’agissait d’une vulnérabilité de type “zero-day” dans les multi-sig de Tron. Elle permettait à un hacker de contourner ce mécanisme de multi-signatures et de signer les transactions avec une seule signature.
0d, our superstar cybersecurity research team, discovered a vulnerability in TRON multisig accounts putting over $500M of digital assets at risk – it was disclosed and fixed so there are no user assets at risk now.
A technical breakdown:https://t.co/nMj6kV6Oc3
— dWallet Labs (@dWalletLabs) May 30, 2023
dWallets Labs est une société de sécurité crypto reconnue et réputée. Cette dernière est notamment partenaire du Digital Currency Group ou encore de Node Capital.
Pour rappel, les portefeuilles multi-signatures demandent la signature de plusieurs signataires, préalablement définis, pour approuver des transactions. Chaque signataire du compte détient ses propres clés et il faut un certain nombre de signatures pour que le transaction puisse se réaliser. C’est une des pratiques les plus courantes en matière de sécurité dans l’industrie crypto.
Une faille potentielle catastrophique
Selon l’équipe à l’origine de cette découverte, cette faille aurait pu avoir un impact sur 500 millions dollars d’actifs détenus par Tron. Dans une note technique, l’équipe écrit :
Nous pouvons contourner le processus de vérification multisig en signant le même message avec des nonces non déterministes de notre choix. Ce faisant, nous serons en mesure de générer de nombreuses signatures différentes valides pour le même message à l’aide de la même clé privée.
Selon l’équipe de cybersécurité, Tron s’assure que les signatures sont uniques au lieu de vérifier si les signataires sont uniques. De ce fait, les signataires peuvent potentiellement “voter deux fois” ou signer deux fois. Omer Sadika, PDG de dWallet Labs, a déclaré que la solution était simple : vérifier l’adresse plutôt que le nombre de signatures.
Les chercheurs ont noté que la vulnérabilité avait été signalée à Tron en février et corrigée quelques jours plus tard.
Une actualité chargée pour Tron
Ces dernières semaines, Tron a occupé le devant de la scène crypto à de nombreuses reprises. Le mois dernier, l’exchange Binance.Us avait retiré le token de son exchange et provoqué un dump du token sur les marchés. La division américaine du géant des exchanges citait notamment la réglementation aux Etats-Unis et le comportement éthique du projet.
Les frasques de Justin Sun ne sont surement pas étrangères à cette décision. Ce dernier est actuellement dans le viseur de la SEC avec trois de ses sociétés. Il est régulièrement au coeur de l’actualité et reste l’une des personnalités les plus surveillées de l’écosystème crypto.
Source : CoinTelegraph
Sur le même sujet :
- Justin Sun s’excuse suite au coup de pression de Binance
- Justin Sun transfère 4.3 millions $ de jetons MakerDAO sur Binance : gros dump à venir ?
- Genesis et Gemini demandent le rejet des poursuites engagées par la SEC
Partager
Antoine Marin
Rédacteur
