Ouvrir le menu
cryptoneet
Une vulnérabilité dans les comptes de Tron

Une faille de 500 millions de dollars dans les comptes de Tron

splitter
Richard "Ororys"Ric
30 mai 2023par Richard "Ororys"

Dans le monde des cryptomonnaies, un acteur essentiel joue un rôle assez discret : celui de détecter des failles et des vulnérabilités au sein des comptes et des protocoles. Il s’agit des sociétés de sécurité qui effectuent des audits réguliers. En février dernier, l’une d’elles a détecté une faille dans les comptes de Tron, s’élevant à plus de 500 millions de dollars. On fait le point.

Une vulnérabilité dans les comptes de Tron
crypto

Une vulnérabilité de plus de 500 millions de dollars 

L’équipe de recherche de l’entreprise dWallet Labs a découvert une vulnérabilité de type ‘Zero-Day” dans les comptes multisignature de la fondation derrière la blockchain Tron. Cela permettrait à un pirate de contourner le mécanisme multisig et de signer les transactions, avec une seule et unique signature. 

Pour rappel, les comptes multisignatures sont des portefeuilles dont l’accès nécessite la signature de plusieurs parties. Une personne seule ne peut théoriquement pas utiliser un portefeuille multisig. 

Dans la note publiée par l’équipe, cette vulnérabilité aurait pu avoir un impact de plus de 500 millions de dollars. Cela aurait pu donc être dramatique pour le projet de Justin Sun. La sécurité offerte par le multisig était rendue “obsolète” par la faille qui a été détectée. 

Voici ce qu’a écrit l’équipe de recherche au sujet de cet incident : 

"Nous pouvons contourner le processus de vérification multisig en signant le même message avec des nonces non-déterministes de notre choix. Ce faisant, nous serons en mesure de générer de nombreuses signatures différentes valides pour le même message à l'aide de la même clé privée."

Pour faire simple, il semblerait que le protocole utilisé par Tron vérifiait qu’une signature soit unique, mais pas le signataire. Omer Sadika, PDG de dWallet Labs, a déclaré que la solution était simple : vérifier l'adresse plutôt que le nombre de signatures.

À noter que cette vulnérabilité a été transmise à l’équipe de Tron en février dernier. Elle avait été ensuite rectifiée, seulement quelques jours plus tard. Ce type de nouvelle n’est pas anodin. Cette fois-ci, cela s’est montré sans conséquence, mais cela aurait pu être désastreux. 

Il existe une longue liste de piratages et d’arnaques qui concernent le secteur des cryptomonnaies, ce qui contribue à véhiculer une mauvaise image de notre milieu. Nous saluons l’action menée par dWallet Labs, dont la mission vise à rendre l’utilisation des actifs numériques plus sûre. 

crypto
Plateformes d'échanges
mask

J'ai découvert la technologie blockchain et le monde des actifs numériques il y a plus de deux ans maintenant. Démarrant comme un simple investisseur, j'ai ensuite décidé de m'essayer à l'expérience de l'entrepreneuriat en créant mon propre projet NFT. Aujourd'hui, j'allie deux de mes passions que sont l'écriture et le web3, en tant que rédacteur pour CryptoNeet. Vous pouvez me retrouver sur twitter.

splitter