Sebuah celah keamanan signifikan telah membahayakan lebih dari 14.500 dompet cryptocurrency Tron, berpotensi mengekspos jutaan dolar dalam bentuk aset yang dapat dicuri. Kerentanan ini, yang dirinci oleh perusahaan keamanan AMLBot dalam laporan yang dibagikan dengan Cointelegraph, telah membahayakan 2.130 dompet hanya dalam kuartal terakhir tahun 2024. Dompet ini menyimpan sekitar $31,5 juta dalam bentuk aset digital.

Sifat serangan yang diam-diam ini membuatnya sangat berbahaya. Tidak seperti peretasan konvensional yang cepat menguras dana, eksploitasi ini memungkinkan penyerang mengontrol dompet tanpa terdeteksi. Mereka memblokir transaksi keluar yang sah, secara efektif menolak akses pemilik yang berhak ke dana mereka. Korban mungkin tanpa sadar terus menyetorkan lebih banyak aset, memperkaya peretas tanpa mengetahui adanya pelanggaran.

Mykhailo Tiutin, Chief Technology Officer di AMLBot, mencatat kesulitan yang dihadapi korban dalam memahami bahwa dompet mereka telah dibahayakan. Seorang korban anonim, yang khawatir akan menjadi target lebih lanjut, berbagi kisahnya bagaimana dia menyetorkan 1.000 USDT tambahan ke dalam dompetnya, tanpa mengetahui status kompromi. Jika dana telah dicuri dengan terang-terangan, hal itu akan segera terlihat.

Transaksi UpdateAccountPermission Tron dirancang untuk memperkuat keamanan akun dengan fitur seperti fungsionalitas multisig. Ini memungkinkan penugasan peran tertentu ke kunci dan pengaturan batas untuk otorisasi transaksi. Namun, fitur ini menjadi kerentanan ketika penyerang mendapatkan akses ke kunci privat. Mereka dapat menambahkan kunci mereka, memenuhi ambang batas transaksi dan secara efektif mengunci pengguna yang sah.

Tiutin menunjukkan kurangnya pemberitahuan saat kunci baru ditambahkan, meninggalkan pemilik tanpa mengetahui pelanggaran hingga mereka memulai transaksi keluar. Bahkan setelah menemukan masalah, opsi untuk korban terbatas. Saran segera adalah untuk menghentikan setoran lebih lanjut ke dalam dompet yang dikompromikan.

Sattvik Kansal, salah satu pendiri Rome Protocol, menyoroti keseriusan serangan ini, mencatat ketidakmungkinan untuk memulihkan dana tanpa kunci privat penyerang. Tron belum merespons insiden ini.

Tujuan sah dari UpdateAccountPermission melayani banyak peran. Ini memungkinkan kontrol akun bersama, mengurangi transaksi yang tidak sah, dan membantu tata kelola terdesentralisasi dengan memerlukan persetujuan multisignature. Pengguna individu mendapatkan manfaat serupa dengan mengamankan akun dengan beberapa kunci.

Tron tidak sendirian dalam menghadapi penyalahgunaan fungsi blockchain. Di Ethereum, fungsi penting seperti "approve" dan "permit" sering dieksploitasi dalam penipuan phishing, yang mengakibatkan kerugian besar. Scam Sniffer, sebuah perusahaan keamanan, melaporkan $9,38 juta hilang karena penipuan phishing hanya pada bulan November 2024, dengan jumlah signifikan dikaitkan pada Ethereum.

Penurunan dari angka kerugian sebelumnya menunjukkan adanya peningkatan dalam keamanan dompet dan pendidikan pengguna yang lebih baik. Langkah-langkah seperti itu sangat penting dalam mencegah skema phishing.

Mencegah eksploitasi dari UpdateAccountPermission dimulai dengan mengamankan kunci privat, yang penting untuk memanipulasi izin akun. Axel Leloup, peneliti keamanan utama di Dowsers, menekankan perlunya memahami sistem izin Tron dan melakukan tinjauan rutin. Dia menganjurkan penyimpanan kunci privat secara aman di luar jaringan dan menghindari berbagi dengan pihak yang tidak dipercaya.

Dompet yang dikompromikan korban anonim diakibatkan oleh keamanan operasional yang buruk, dengan kunci privatnya terekspos dalam kode sumber di berbagai perangkat. Untuk lebih melindungi, Tiutin menyarankan untuk membatasi jumlah Tronix (TRX) dalam dompet dan memilih dompet yang memungkinkan transaksi USDT tanpa membakar TRX, mengingat biaya 100 TRX yang diperlukan untuk fungsi UpdateAccountPermission.

Bagi pengguna Ethereum dan blockchain lainnya, karena serangan phishing menjadi semakin canggih, langkah-langkah keamanan yang kuat tetap penting untuk melindungi aset digital.