Una falla de seguridad significativa ha puesto en peligro más de 14,500 billeteras de criptomonedas Tron, potencialmente exponiendo millones de dólares en activos al robo. Esta vulnerabilidad, detallada por la firma de seguridad AMLBot en un informe compartido con Cointelegraph, comprometió 2,130 billeteras solo en el último trimestre de 2024. Estas billeteras contienen aproximadamente $31.5 millones en activos digitales.

La naturaleza sigilosa de este ataque lo hace particularmente peligroso. A diferencia de los hackeos convencionales que rápidamente drenan los fondos, este exploit permite a los atacantes controlar las billeteras sin ser detectados. Bloquean transacciones salientes legítimas, negando efectivamente a los propietarios legítimos acceso a sus fondos. Las víctimas pueden seguir depositando más activos sin saberlo, enriqueciendo a los hackers sin ninguna conciencia de la violación.

Mykhailo Tiutin, director de tecnología de AMLBot, señaló la dificultad que enfrentan las víctimas para entender que sus billeteras están comprometidas. Una víctima anónima, temiendo un ataque adicional, compartió cómo depositó 1,000 USDT adicionales en su billetera, sin saber su estado comprometido. Si los fondos hubieran sido robados directamente, habría sido evidente de inmediato.

La transacción UpdateAccountPermission de Tron está diseñada para fortalecer la seguridad de la cuenta con funciones como la multisig. Permite la asignación de roles específicos a las claves y establecer umbrales para la autorización de transacciones. Sin embargo, esta función se convierte en una vulnerabilidad cuando los atacantes acceden a una clave privada. Pueden añadir sus claves, cumpliendo con los umbrales de transacción y bloqueando efectivamente a los usuarios legítimos.

Tiutin señala la falta de notificación cuando se añade una nueva clave, dejando a los propietarios inconscientes de la violación hasta que inicien una transacción saliente. Incluso después de descubrir el problema, las opciones para las víctimas son limitadas. El consejo inmediato es detener depósitos adicionales en la billetera comprometida.

Sattvik Kansal, cofundador de Rome Protocol, destacó la seriedad del ataque, señalando la imposibilidad de recuperar fondos sin la clave privada del atacante. Tron aún no ha respondido al incidente.

El propósito legítimo de UpdateAccountPermission sirve para muchos roles. Permite el control compartido de cuentas, reduce las transacciones no autorizadas y ayuda a la gobernanza descentralizada al requerir aprobaciones multisignatura. Los usuarios individuales se benefician de manera similar al asegurar cuentas con múltiples claves.

Tron no está solo enfrentando el uso indebido de funcionalidades de blockchain. En Ethereum, funciones esenciales como "approve" y "permit" son frecuentemente explotadas en estafas de phishing, llevando a pérdidas considerables. Scam Sniffer, una firma de seguridad, reportó $9.38 millones perdidos en estafas de phishing solo en noviembre de 2024, con cantidades significativas atribuidas a Ethereum.

El declive en las cifras de pérdidas anteriores sugiere mejoras en la seguridad de las billeteras y mejor educación del usuario. Tales medidas son cruciales para prevenir esquemas de phishing.

Prevenir la explotación de UpdateAccountPermission comienza asegurando las claves privadas, que son esenciales para manipular los permisos de cuenta. Axel Leloup, investigador principal de seguridad en Dowsers, enfatizó la necesidad de comprender los sistemas de permisos de Tron y realizar revisiones regulares. Aconsejó almacenar de manera segura las claves privadas fuera de línea y evitar compartirlas con partes no confiables.

La billetera comprometida de la víctima anónima resultó de una mala seguridad operativa, con su clave privada expuesta en el código fuente a través de dispositivos. Para proteger aún más, Tiutin sugiere limitar la cantidad de Tronix (TRX) en las billeteras y optar por billeteras que permitan transacciones de USDT sin quemar TRX, dado el cargo de 100 TRX necesario para la función UpdateAccountPermission.

Para los usuarios de Ethereum y otras blockchains, a medida que los ataques de phishing se vuelven cada vez más sofisticados, las medidas de seguridad robustas siguen siendo críticas para proteger los activos digitales.