Un equipo de investigadores de 0d, una división de dWallet Labs, ha descubierto una vulnerabilidad crítica en la red Tron que podría haber resultado en la pérdida de más de $500 millones en activos digitales. La vulnerabilidad se encontraba en el mecanismo de cuentas multisig de Tron, que permitía a un atacante eludir el sistema de firmas múltiples y obtener acceso sin restricciones con una sola firma. Afortunadamente, el problema fue solucionado rápidamente después de que se informara en febrero.
El error se originaba en el proceso de verificación de transacciones multisig de Tron, lo que permitía que alguien «superara por completo la seguridad multisig» y accediera a grandes cantidades de activos digitales. Esto afectó a más de $500 millones en activos que se mantenían en cuentas multisig de Tron.
Las billeteras multisig son utilizadas para crear cuentas conjuntas en criptomonedas, y requieren múltiples firmantes definidos en una cuenta para aprobar transacciones y mover fondos. Cada firmante tiene sus propias claves y se requiere un umbral mínimo para aprobar las transacciones. Sin embargo, esta vulnerabilidad permitía que un firmante no confiable generara múltiples firmas válidas para el mismo mensaje utilizando diferentes nonces (números aleatorios), lo que resultaba en un «doble voto» y la posibilidad de eludir el umbral requerido para la transacción.
Aunque la vulnerabilidad era crítica, su solución fue relativamente sencilla. En lugar de comparar las firmas con una lista, se verificaba la dirección firmada con una lista de direcciones, lo que resolvía el problema.
Los desarrolladores de Tron tomaron medidas rápidas y solucionaron la vulnerabilidad en cuestión de días después de recibir el informe de los investigadores. La red Tron ha asegurado el sistema y ha aplicado los parches necesarios para garantizar que la vulnerabilidad no pueda ser explotada.
A pesar de este incidente, Tron sigue siendo una de las mayores blockchains en términos de valor total bloqueado y circulación de stablecoins. Sin embargo, este evento destaca la importancia de una seguridad sólida en el espacio de las criptomonedas y la necesidad de que las plataformas y desarrolladores estén atentos a posibles vulnerabilidades para proteger los activos y la confianza de los usuarios.