Foto: Shutterstock/Stanslavs
En 2019, la Fundación Tron desveló el soporte de la funcionalidad multisig para la blockchain de Tron (TRX). Pero, por desgracia, esto contenía una vulnerabilidad de seguridad que hacía que la característica fuera prácticamente inútil. Afortunadamente, esto ya se ha solucionado.
Seguridad contra los piratas informáticos
Multisig significa que varias personas tienen que aprobar una transacción antes de que pueda ser enviada. Esto es importante, por ejemplo, para las grandes organizaciones que no pueden enviar dinero sin más, como los exchanges de criptomonedas. Por lo tanto, varias personas son propietarias de un monedero criptográfico, o wallet, de este tipo.
Puede ocurrir que el dinero sea robado, por ejemplo, si un empleado huye con el dinero. Eso le ocurrió a la empresa holandesa Litebit, por ejemplo. También puede ocurrir que los piratas informáticos desvíen las monedas desde el exterior. El año pasado, en particular, tampoco fue una excepción, ya que los piratas informáticos robaron una cantidad récord de criptomonedas en 2022.
La vulnerabilidad en las wallets de Tron ya está solucionada
Pero resulta que la característica de la blockchain de Tron no funcionaba tan bien. Investigadores de seguridad de dWallet Labs lograron eludir la función creando firmas digitales arbitrarias que permitían eludir la función.
Esto hizo que el acceso a una sola clave privada fuera suficiente para permitir transacciones desde un monedero multisig. Un segundo tipo de pirateo permitía al atacante acceder a la wallet incluso sin ninguna clave privada. Según los investigadores, el mecanismo se basaba en comprobar si las firmas no son iguales, en lugar de comprobar si los firmantes no son la misma persona.
Afortunadamente, ya se ha ideado una solución. Los piratas informáticos benignos suelen notificarlo a la empresa u organización poco después de su descubrimiento, tras lo cual se le da tiempo para idear una solución. En este caso, la vulnerabilidad se descubrió en febrero y ahora ya se ha dado a conocer.
La solución también se ha aplicado ya. Se trataba simplemente de verificar qué direcciones querían confirmar la transacción, en lugar de limitarse a comprobar las firmas. Habría unos $500 millones en este tipo de carteras en Tron, que ahora están automáticamente aseguradas de forma adecuada.
