重大なセキュリティ欠陥により、14,500を超えるTron暗号通貨ウォレットが危険にさらされ、数百万ドルの資産が盗まれる可能性があります。この脆弱性は、セキュリティ企業AMLBotがCointelegraphと共有した報告で詳述されており、2024年の最終四半期だけで2,130ウォレットが侵害されました。これらのウォレットには、およそ3,150万ドルのデジタル資産が保管されています。
この攻撃の隠密な性質により、特に危険です。通常のハッキングが速やかに資金を奪い去るのに対し、この脅威は攻撃者がウォレットを検出されずに操作できるようにします。彼らは正当な外部取引をブロックし、事実上所有者の資金へのアクセスを拒否します。被害者は知らないうちにさらなる資産を預け続けるかもしれず、ハッカーは違反に対する認識なしに利益を得ます。
AMLBotの最高技術責任者であるMykhailo Tiutinは、被害者がウォレットが侵害されていることを理解するのが難しいと考えていると述べました。匿名の被害者が、さらなるターゲティングを恐れつつ、侵害された状態に気づかずに自分のウォレットにさらに1,000 USDTを預けたと共有しました。資金が直ちに盗まれた場合、それはすぐに明らかだったでしょう。
TronのUpdateAccountPermissionトランザクションは、マルチシグ機能などの特長でアカウントのセキュリティを強化するように設計されています。これは、特定の役割を鍵に割り当て、トランザクション承認の閾値を設定することを可能にします。しかし、攻撃者が秘密鍵にアクセスした場合、この機能は脆弱性になります。彼らは自分の鍵を追加し、トランザクションの閾値を満たし、正当なユーザーを事実上排除します。
Tiutinは、新しい鍵が追加されたときに通知がないことを指摘し、所有者が外部取引を開始するまで違反が判明しない可能性があることを指摘しました。一度問題を発見しても、被害者の選択肢は限られています。即座のアドバイスは、侵害されたウォレットへのさらなる預金を停止することです。
Rome Protocolの共同創業者であるSattvik Kansalは、攻撃の深刻さを強調し、攻撃者の秘密鍵なしでは資金を回収することが不可能であると述べました。Tronはまだこの事件に対する対応を発表していません。
UpdateAccountPermissionの正当な目的は、多くの役割を果たします。これは、共有アカウントのコントロールを可能にし、無許可の取引を減らし、マルチシグ承認を要求することで分散型ガバナンスを助けます。個別のユーザーも、複数の鍵でアカウントを保護することで同様の利益を得ます。
Tronは、ブロックチェーン機能の誤用に直面しているのは一人ではありません。Ethereumでは、「承認」や「許可」などの基本機能がフィッシング詐欺で頻繁に悪用され、大幅な損失につながります。セキュリティ企業Scam Snifferは、2024年11月だけでフィッシング詐欺に9.38百万ドルが失われたと報告しており、その多くはEthereumに帰せられています。
過去の損失数からの減少は、ウォレットのセキュリティの向上とユーザー教育の改善を示唆しています。そのような対策は、フィッシングスキームを防ぐために極めて重要です。
UpdateAccountPermissionの悪用を防ぐには、アカウント権限を操作するために不可欠な秘密鍵を保護することから始めます。Dowsersの主任セキュリティ研究者であるAxel Leloupは、Tronの権限システムを理解し、定期的なレビューを行う必要性を強調しました。彼は、秘密鍵をオフラインで安全に保管し、信頼できない第三者と共有しないようにアドバイスしました。
匿名の被害者のウォレットが侵害されたのは、運用セキュリティが不十分で、秘密鍵がデバイス間でソースコードに露出していたためでした。さらなる保護策として、Tiutinはウォレット内のTronix(TRX)の量を制限し、100 TRXのUpdateAccountPermission機能の手数料を考慮しつつTRXを燃やすことなくUSDT取引を許可するウォレットを選ぶことを提案しました。
Ethereumや他のブロックチェーンユーザーに対して、フィッシング攻撃がますます高度化する中、堅固なセキュリティ対策はデジタル資産の保護において重要なままです。