Capire il processo di multisignature e la sua vulnerabilità
I portafogli multisignature, come suggerisce il nome, sono progettati per richiedere più firmatari da un elenco predefinito per autorizzare le transazioni e facilitare i movimenti di fondi. Questa struttura è utilizzata per creare conti collettivi nel campo delle criptovalute, dove ogni firmatario conserva le proprie chiavi rispettive, e il conto impone una soglia di approvazione particolare affinché le transazioni siano accettate.
La vulnerabilità scoperta nel meccanismo di multisignature di Tron permette di generare un numero significativo di firme valide. I ricercatori hanno notato: “Possiamo aggirare il processo di verifica multisignature firmando lo stesso messaggio con nonce non deterministi a nostra scelta. Questo ci permetterà di generare un gran numero di firme diverse valide per lo stesso messaggio utilizzando la stessa chiave privata.”
Secondo il team di cybersecurity di dWallet Labs, Tron si assicurava l’unicità delle firme piuttosto che quella dei firmatari. Questa falla permetteva ai firmatari di effettuare un “doppio voto” o di firmare due volte.
Verifica degli indirizzi: la chiave per una correzione rapida
La soluzione, come ha sottolineato Omer Sadika, CEO di dWallet Labs, era sorprendentemente semplice: bisognava concentrarsi sulla verifica dell’indirizzo piuttosto che sul numero di firme. Una volta scoperta, la vulnerabilità è stata rapidamente segnalata a Tron nel mese di febbraio. L’azienda ha reagito prontamente e ha risolto il problema in pochi giorni. Questa rapida risposta ha permesso di minimizzare il potenziale rischio per la sicurezza e di proteggere gli asset sostanziali detenuti sui conti interessati.
Un monito per il mondo della finanza decentralizzata
Questo caso fa riflettere il mondo della finanza decentralizzata, che ha avuto la sua quota di incidenti di sicurezza. Solo di recente, un exploit ha portato a una perdita di 7,5 milioni di dollari per un altro protocollo DeFi, Jimbos, sottolineando la necessità continua di pratiche di sicurezza rigorose nel campo delle criptovalute. Mentre l’industria delle criptovalute continua a crescere e a evolversi, è fondamentale che le aziende e gli utenti rimangano vigili e attenti alle potenziali vulnerabilità e rischi di sicurezza. La scoperta e la risoluzione tempestiva di questa falla da parte di dWallet Labs e Tron sono un esempio positivo di come la collaborazione e la prontezza possono contribuire a mantenere sicuro l’ecosistema delle criptovalute.