Une faille de 500 millions de dollars dans les comptes de Tron
RicDans le monde des cryptomonnaies, un acteur essentiel joue un rôle assez discret : celui de détecter des failles et des vulnérabilités au sein des comptes et des protocoles. Il s’agit des sociétés de sécurité qui effectuent des audits réguliers. En février dernier, l’une d’elles a détecté une faille dans les comptes de Tron, s’élevant à plus de 500 millions de dollars. On fait le point.
Une vulnérabilité de plus de 500 millions de dollars
L’équipe de recherche de l’entreprise dWallet Labs a découvert une vulnérabilité de type ‘Zero-Day” dans les comptes multisignature de la fondation derrière la blockchain Tron. Cela permettrait à un pirate de contourner le mécanisme multisig et de signer les transactions, avec une seule et unique signature.
Pour rappel, les comptes multisignatures sont des portefeuilles dont l’accès nécessite la signature de plusieurs parties. Une personne seule ne peut théoriquement pas utiliser un portefeuille multisig.
Dans la note publiée par l’équipe, cette vulnérabilité aurait pu avoir un impact de plus de 500 millions de dollars. Cela aurait pu donc être dramatique pour le projet de Justin Sun. La sécurité offerte par le multisig était rendue “obsolète” par la faille qui a été détectée.
Voici ce qu’a écrit l’équipe de recherche au sujet de cet incident :
"Nous pouvons contourner le processus de vérification multisig en signant le même message avec des nonces non-déterministes de notre choix. Ce faisant, nous serons en mesure de générer de nombreuses signatures différentes valides pour le même message à l'aide de la même clé privée."
Pour faire simple, il semblerait que le protocole utilisé par Tron vérifiait qu’une signature soit unique, mais pas le signataire. Omer Sadika, PDG de dWallet Labs, a déclaré que la solution était simple : vérifier l'adresse plutôt que le nombre de signatures.
À noter que cette vulnérabilité a été transmise à l’équipe de Tron en février dernier. Elle avait été ensuite rectifiée, seulement quelques jours plus tard. Ce type de nouvelle n’est pas anodin. Cette fois-ci, cela s’est montré sans conséquence, mais cela aurait pu être désastreux.
Il existe une longue liste de piratages et d’arnaques qui concernent le secteur des cryptomonnaies, ce qui contribue à véhiculer une mauvaise image de notre milieu. Nous saluons l’action menée par dWallet Labs, dont la mission vise à rendre l’utilisation des actifs numériques plus sûre.
RicMon aventure dans les cryptomonnaies commence au début du bull-run 2021. Je me suis d’abord renseigné sur la technologie blockchain, Bitcoin et Ethereum, par simple curiosité. J’ai rapidement été séduit par l’idéal porté par BTC, et j’ai alors décidé d’investir. Par la suite, je me suis intéressé aux NFTs à travers plusieurs écosystèmes, dont Ethereum, Solana, ou encore Avalanche. La technologie développée par Avalanche m’a convaincu, et j’ai alors décidé de passer de simple investisseur à entrepreneur, en créant mon propre projet NFT.
J’ai toujours aimé écrire et transmettre mes connaissances. J’ai commencé par le faire auprès de ma petite communauté sur Twitter, avec laquelle je partageais mes analyses et mes avis. Aujourd’hui, j’ai l’opportunité d’allier mes deux passions, que sont l’écriture et le web3, en tant que rédacteur pour CryptoNeet. N’hésitez pas à me retrouver sur X/twitter.
