Una significativa falla nella sicurezza ha messo in pericolo più di 14.500 portafogli di criptovaluta Tron, esponendo potenzialmente milioni di dollari in asset a furti. Questa vulnerabilità, dettagliata dalla società di sicurezza AMLBot in un rapporto condiviso con Cointelegraph, ha compromesso 2.130 portafogli solo nell'ultimo trimestre del 2024. Questi portafogli detengono circa 31,5 milioni di dollari in asset digitali.
La natura furtiva di questo attacco lo rende particolarmente pericoloso. A differenza degli hack convenzionali che prosciugano rapidamente i fondi, questo exploit consente agli attaccanti di controllare i portafogli senza essere rilevati. Bloccano le transazioni in uscita legittime, negando effettivamente ai legittimi proprietari l'accesso ai loro fondi. Le vittime possono continuare inconsapevolmente a depositare ulteriori asset, arricchendo gli hacker senza alcuna consapevolezza dell'infrazione.
Mykhailo Tiutin, Chief Technology Officer di AMLBot, ha osservato la difficoltà che le vittime incontrano nel comprendere che i loro portafogli sono compromessi. Una vittima anonima, temendo ulteriori obiettivi, ha condiviso come abbia depositato ulteriori 1.000 USDT nel suo portafoglio, ignaro del suo stato compromesso. Se i fondi fossero stati rubati immediatamente, sarebbe stato subito chiaro.
La transazione UpdateAccountPermission di Tron è progettata per rafforzare la sicurezza dell'account con funzionalità come quelle multisig. Consente l'assegnazione di ruoli specifici alle chiavi e la definizione di soglie per l'autorizzazione delle transazioni. Tuttavia, questa funzione diventa una vulnerabilità quando gli attaccanti accedono a una chiave privata. Possono aggiungere le loro chiavi, raggiungendo le soglie delle transazioni ed escludendo effettivamente gli utenti legittimi.
Tiutin sottolinea la mancanza di notifiche quando viene aggiunta una nuova chiave, lasciando i proprietari ignari dell'infrazione fino a quando non avviano una transazione in uscita. Anche dopo aver scoperto il problema, le opzioni per le vittime sono limitate. Il consiglio immediato è di interrompere ulteriori depositi nel portafoglio compromesso.
Sattvik Kansal, co-fondatore di Rome Protocol, ha evidenziato la gravità dell'attacco, notando l'impossibilità di recuperare i fondi senza la chiave privata dell'attaccante. Tron deve ancora rispondere all'incidente.
Lo scopo legittimo di UpdateAccountPermission serve molti ruoli. Consente il controllo condiviso dell'account, riduce le transazioni non autorizzate e supporta la governance decentralizzata richiedendo approvazioni multisignature. Gli utenti individuali traggono beneficio in modo simile, proteggendo gli account con chiavi multiple.
Tron non è sola nell'affrontare l'abuso di funzionalità blockchain. Su Ethereum, funzioni essenziali come "approve" e "permit" sono spesso sfruttate in attacchi di phishing, portando a perdite sostanziali. Scam Sniffer, una società di sicurezza, ha riferito di 9,38 milioni di dollari persi a causa di attacchi di phishing nel solo novembre 2024, con importi significativi attribuiti a Ethereum.
Il calo rispetto ai dati di perdita precedenti suggerisce miglioramenti nella sicurezza dei portafogli e una migliore educazione degli utenti. Tali misure sono cruciali per prevenire schemi di phishing.
Prevenire lo sfruttamento di UpdateAccountPermission inizia con il mantenimento sicuro delle chiavi private, essenziali per manipolare i permessi dell'account. Axel Leloup, ricercatore capo sulla sicurezza presso Dowsers, ha sottolineato la necessità di comprendere i sistemi di permessi di Tron e condurre revisioni regolari. Ha consigliato di conservare in modo sicuro le chiavi private offline e di evitare di condividerle con parti non fidate.
Il portafoglio compromesso della vittima anonima è risultato da una scarsa sicurezza operativa, con la sua chiave privata esposta nel codice sorgente su diversi dispositivi. Per una maggiore sicurezza, Tiutin suggerisce di limitare la quantità di Tronix (TRX) nei portafogli e di optare per portafogli che consentano transazioni USDT senza bruciare TRX, considerando la commissione di 100 TRX necessaria per la funzione UpdateAccountPermission.
Per gli utenti di Ethereum e di altre blockchain, poiché gli attacchi di phishing diventano sempre più sofisticati, misure di sicurezza robuste restano fondamentali per proteggere gli asset digitali.