ثغرة أمنية كبيرة تهدد أكثر من 14,500 محفظة للعملات المشفرة من ترون، مما قد يعرض ملايين الدولارات من الأصول للسرقة. تم تفصيل هذه الثغرة من قبل شركة الأمن AMLBot في تقرير تمت مشاركته مع Cointelegraph، حيث تم اختراق 2,130 محفظة في الربع الأخير من عام 2024 فقط. تحتوي هذه المحافظ على حوالي 31.5 مليون دولار من الأصول الرقمية.

الطبيعة المتخفية لهذا الهجوم تجعله خطيرًا بشكل خاص dangerous. على عكس عمليات الاختراق التقليدية التي تستنزف الأموال بسرعة، يسمح هذا الاستغلال للمهاجمين بالتحكم في المحافظ دون اكتشاف. يقومون بمنع المعاملات الصادرة الشرعية، مما يحرم المالكين الشرعيين من الوصول إلى أموالهم. قد يواصل الضحايا دون وعي إيداع المزيد من الأصول، مما يغني المتسللين دون أي دراية بالاختراق.

أشار ميخايلو تيوتين، رئيس التكنولوجيا في AMLBot، إلى الصعوبة التي يواجهها الضحايا في فهم أن محفظتهم تعرضت للاختراق. شارك ضحية anonynous، خوفًا من استهدافه مجددًا، كيف أنه أودع 1,000 USDT إضافية في محفظته، غير مدرك أن محفظته تعرضت للاختراق. لو كانت الأموال قد سُرقت فورًا، لكان الأمر واضحًا فورًا.

تم تصميم عملية UpdateAccountPermission في ترون لتعزيز الأمان الحسابي بميزات مثل الوظائف المتعددة. تتيح تعيين أدوار محددة للأزرار وتعيين العتبات لتفويض المعاملات. ومع ذلك، تصبح هذه الميزة ثغرة عندما يصل المهاجمون إلى مفتاح خاص. يمكنهم إضافة مفاتيحهم، مستوفين العتبات والمعاملات وقفل المستخدمين الشرعيين.

يوضح تيوتين نقص الإشعارات عند إضافة مفتاح جديد، مما يترك المالكين دون علم بالاختراق حتى يحاولوا بدء معاملة صادرة. حتى بعد اكتشاف المشكلة، الخيارات المتاحة للضحايا محدودة. النصيحة الفورية هي التوقف عن الإيداع في المحفظة المخترقة.

ساثفيك كانسال، مؤسس مشارك في بروتوكول روما، أبرز خطورة الهجوم، مشيرًا إلى استحالة استعادة الأموال دون المفتاح الخاص للمهاجم. لم تستجب ترون بعد لهذه الحادثة.

الغرض الشرعي من عملية UpdateAccountPermission يخدم عدة أدوار. يمكن التحكم المشترك في الحساب، وتقليل المعاملات غير المصرح بها، والمساعدة في الحوكمة اللامركزية من خلال طلب موافقات متعددة التوقيع. يستفيد المستخدمون الأفراد بشكل مماثل من خلال تأمين الحسابات بمفاتيح متعددة.

ترون ليست الوحيدة في مواجهة سوء استخدام وظائف البلوكشين. على شبكة إيثريوم، تُستغل وظائف أساسية مثل "approve" و"permit" في عمليات الهجوم المستندة إلى التصيد الاحتيالي بشكل متكرر، مما يؤدي إلى خسائر كبيرة. شركة Scam Sniffer للأمن، أفادت بأن خسائر التصيد الاحتيالي بلغت 9.38 مليون دولار في نوفمبر 2024 وحده، مع مبالغ كبيرة تُنسب إلى إيثريوم.

يشير التراجع عن الأرقام السابقة للخسارة إلى تحسينات في أمان المحافظ وتحسين تعليم المستخدم. هذه التدابير حاسمة في منع مخططات التصيد الاحتيالي.

يبدأ منع استغلال UpdateAccountPermission بتأمين المفاتيح الخاصة، التي تعتبر أساسية للتلاعب بأذونات الحساب. أكد أكسل ليلو، الباحث الرائد في الأمن في داوزرز، على الحاجة إلى فهم أنظمة الإذن في ترون وإجراء مراجعات دورية. أوصى بتخزين المفاتيح الخاصة بشكل آمن في عدم الاتصال وتجنب مشاركتها مع أطراف غير موثوقة.

نتج تعرض محفظة الضحية المجهول للاختراق عن عدم الأمان العملي، حيث تم كشف مفتاحه الخاص في الشفرة المصدرية عبر الأجهزة. لحماية أفضل، يقترح تيوتين تقليل كمية Tronix (TRX) في المحافظ واختيار المحافظ التي تتيح معاملات USDT دون حرق TRX، نظرًا إلى الرسوم البالغة 100 TRX المطلوبة لوظيفة UpdateAccountPermission.

بالنسبة لمستخدمي إيثريوم وبلوكتشينات أخرى، مع تصاعد هجمات التصيد الاحتيالي، تظل تدابير الأمان القوية حاسمة لحماية الأصول الرقمية.