Eine erhebliche Sicherheitslücke hat mehr als 14.500 Tron-Kryptowährungs-Wallets in Gefahr gebracht, wodurch möglicherweise Millionen von Dollar an Vermögenswerten dem Diebstahl ausgesetzt werden könnten. Diese Schwachstelle, die von der Sicherheitsfirma AMLBot in einem Bericht geteilt mit Cointelegraph detailliert wurde, beeinträchtigte allein im letzten Quartal 2024 2.130 Wallets. Diese Wallets halten etwa 31,5 Millionen Dollar an digitalen Vermögenswerten.

Die heimliche Natur dieses Angriffs macht ihn besonders gefährlich. Im Gegensatz zu herkömmlichen Hacks, die schnell Gelder abziehen, ermöglicht dieser Exploit Angreifern, unbemerkt Kontrolle über Wallets zu erlangen. Sie blockieren legitime ausgehende Transaktionen, wodurch den rechtmäßigen Eigentümern der Zugriff auf ihre Gelder effektiv verweigert wird. Opfer könnten unwissentlich weiterhin mehr Vermögenswerte einzahlen, wodurch die Hacker ohne Kenntnis der Sicherheitslücke bereichert werden.

Mykhailo Tiutin, Chief Technology Officer bei AMLBot, bemerkte die Schwierigkeit, die Opfer haben, zu verstehen, dass ihre Wallets kompromittiert sind. Ein anonymer Betroffener, der weitere Angriffe fürchtet, berichtete, wie er zusätzlich 1.000 USDT in sein Wallet einzahlte, ohne dass ihm der kompromittierte Status bekannt war. Wären die Gelder sofort gestohlen worden, wäre es sofort klar gewesen.

Trons UpdateAccountPermission-Transaktion ist dazu gedacht, die Kontosicherheit mit Funktionen wie Multisig-Funktionalitäten zu stärken. Es ermöglicht die Zuweisung spezifischer Rollen zu Schlüsseln und das Setzen von Schwellenwerten für Transaktionsautorisierung. Diese Funktion wird jedoch zu einer Schwachstelle, wenn Angreifer Zugang zu einem privaten Schlüssel erhalten. Sie können ihre Schlüssel hinzufügen, die Transaktionsschwellen erreichen und damit legitime Benutzer effektiv aussperren.

Tiutin weist auf das Fehlen einer Benachrichtigung hin, wenn ein neuer Schlüssel hinzugefügt wird, wodurch die Besitzer bis zur Initiierung einer ausgehenden Transaktion nichts von der Sicherheitslücke wissen. Auch nach Entdeckung des Problems sind die Optionen für Betroffene begrenzt. Der sofortige Rat lautet, keine weiteren Einzahlungen in das kompromittierte Wallet vorzunehmen.

Sattvik Kansal, Mitgründer von Rome Protocol, hob die Ernsthaftigkeit des Angriffs hervor und bemerkte die Unmöglichkeit, Gelder ohne den privaten Schlüssel des Angreifers wiederzuerlangen. Tron hat bislang nicht auf den Vorfall reagiert.

Der legitime Zweck von UpdateAccountPermission dient vielen Rollen. Es ermöglicht geteilte Kontokontrolle, verringert unautorisierte Transaktionen und unterstützt die dezentrale Governance, indem Multisignatur-Zustimmungen erforderlich sind. Einzelne Benutzer profitieren ähnlich, indem sie Konten mit mehreren Schlüsseln sichern.

Tron ist nicht allein mit dem Missbrauch von Blockchain-Funktionalitäten konfrontiert. Auf Ethereum werden grundlegende Funktionen wie "approve" und "permit" häufig in Phishing-Betrügereien ausgenutzt, was zu erheblichen Verlusten führt. Scam Sniffer, ein Sicherheitsunternehmen, berichtete allein im November 2024 von 9,38 Millionen Dollar Verlust durch Phishing-Betrug, wobei erhebliche Beträge Ethereum zugerechnet wurden.

Der Rückgang bei den vorherigen Verlustzahlen deutet auf Verbesserungen in der Wallet-Sicherheit und eine bessere Benutzeraufklärung hin. Solche Maßnahmen sind entscheidend, um Phishing-Programme zu verhindern.

Die Verhinderung der Ausnutzung von UpdateAccountPermission beginnt mit der Sicherung privater Schlüssel, die für die Manipulation von Kontoberechtigungen entscheidend sind. Axel Leloup, leitender Sicherheitsforscher bei Dowsers, betonte die Notwendigkeit, Trons Berechtigungssysteme zu verstehen und regelmäßige Überprüfungen durchzuführen. Er riet, private Schlüssel offline sicher zu speichern und sie nicht mit unzuverlässigen Parteien zu teilen.

Das kompromittierte Wallet des anonymen Opfers resultierte aus schlechter operativer Sicherheit, wobei sein privater Schlüssel im Quellcode auf verschiedenen Geräten offengelegt wurde. Zur weiteren Absicherung schlägt Tiutin vor, die Menge an Tronix (TRX) in Wallets zu begrenzen und Wallets zu wählen, die USDT-Transaktionen ohne Verbrennung von TRX ermöglichen, angesichts der 100 TRX Gebühr, die für die UpdateAccountPermission-Funktion erforderlich ist.

Für Benutzer von Ethereum und anderen Blockchains bleiben robuste Sicherheitsmaßnahmen, da Phishing-Angriffe zunehmend ausgeklügelter werden, entscheidend zum Schutz der digitalen Vermögenswerte.