Getting your Trinity Audio player ready...
|
L'équipe de recherche diligente de dWallet Labs a découvert une vulnérabilité zero-day dans les comptes multisignatures de Tron. Cette importante faille de sécurité permettait aux attaquants de contourner le protocole multisignature établi, permettant l'initiation et l'approbation de transactions à l'aide d'une seule signature. Cette découverte implique un risque potentiel pour des actifs s'élevant à environ 500 millions de dollars détenus sur les comptes multisig de Tron, en raison de la possibilité de contourner complètement le mécanisme de sécurité que le multisig est censé fournir.
Comprendre le processus de multisignature et sa vulnérabilité
Les portefeuilles multisignatures, comme leur nom l'indique, sont conçus pour nécessiter plusieurs signataires d'une liste prédéfinie afin d'autoriser les transactions et de faciliter les mouvements de fonds. Cette structure est utilisée pour créer des comptes collectifs dans le domaine des crypto monnaies, où chaque signataire conserve ses clés respectives, et le compte impose un seuil d'approbation particulier pour que les transactions soient acceptées.
La vulnérabilité découverte dans le mécanisme de multi-signature de Tron permet de générer un nombre important de signatures valides. Les chercheurs ont noté :
Nous pouvons contourner le processus de vérification multisignature en signant le même message avec des nonces non déterministes de notre choix. Cela nous permettra de générer un grand nombre de signatures différentes valides pour le même message à l'aide de la même clé privée.
Selon l'équipe de cybersécurité de dWallet Labs, Tron s'assurait de l'unicité des signatures plutôt que de celle des signataires. Cette faille permettait aux signataires d'effectuer un “double vote” ou de signer deux fois.
Vérification des adresses : La clé d'une correction rapide
La solution, comme l'a souligné Omer Sadika, PDG de dWallet Labs, était étonnamment simple : il fallait se concentrer sur la vérification de l'adresse plutôt que sur le nombre de signatures. Une fois découverte, la vulnérabilité a été rapidement signalée à Tron en février. La société a réagi rapidement et a résolu le problème en l'espace de quelques jours. Cette réaction rapide a permis de minimiser le risque potentiel pour la sécurité et de protéger les actifs substantiels détenus sur les comptes concernés.
Une mise en garde pour le monde de la finance dématérialisée
Cette affaire fait réfléchir le monde de la finance décentralisée, qui a connu sa part d'incidents de sécurité. Récemment encore, un exploit a entraîné une perte de 7,5 millions de dollars pour un autre protocole DeFi, Jimbos, soulignant la nécessité permanente de pratiques de sécurité rigoureuses dans le domaine des crypto-monnaies.