심각한 보안 결함이 14,500개 이상의 Tron 암호화폐 지갑을 위험에 빠뜨려 자산 수백만 달러가 도난당할 가능성이 있습니다. 이 취약점은 보안 회사인 AMLBot이 Cointelegraph에 제공한 보고서에서 자세히 설명했으며, 2024년 마지막 분기 동안에만 2,130개의 지갑이 손상되었습니다. 이러한 지갑들은 약 3,150만 달러의 디지털 자산을 보유하고 있습니다.

이 공격의 은밀한 특성은 특히 위험합니다. 일반적인 해킹과 달리 이 공격은 공격자가 탐지되지 않은 채 지갑을 제어할 수 있게 합니다. 이들은 합법적인 아웃바운드 거래를 차단하여 정당한 소유자로부터 자금에 대한 접근을 효과적으로 막습니다. 희생자들은 침해 사실을 알지 못한 채 더 많은 자산을 계속 예치하여 해커를 부유하게 만들게 될 수 있습니다.

AMLBot의 최고 기술 책임자인 Mykhailo Tiutin은 희생자들이 지갑이 손상되었음을 이해하는 데 겪는 어려움을 언급했습니다. 익명의 희생자는 더 이상 표적이 되는 것을 두려워하여 지갑이 손상된 상태를 모른 채 추가로 1,000 USDT를 예치했다고 공유했습니다. 만약 자금이 즉시 도난당했다면 즉시 명확하게 알 수 있었을 것입니다.

Tron's UpdateAccountPermission 거래는 다중 서명 기능과 같은 기능으로 계정 보안을 강화하도록 설계되었습니다. 이 기능은 키에 특정 역할을 할당하고 거래 승인 임계값을 설정할 수 있게 합니다. 그러나 공격자가 프라이빗 키에 접근할 경우 이 기능은 취약점이 됩니다. 그들은 자신의 키를 추가하여 거래 임계값을 충족하고 합법적인 사용자를 효과적으로 차단할 수 있습니다.

Tiutin은 새로운 키가 추가될 때 알림이 부족한 점을 지적합니다. 소유자는 아웃바운드 거래를 시작할 때까지 침해 사실을 인식하지 못합니다. 문제를 발견한 후에도 희생자들의 선택지는 제한적입니다. 즉각적인 조언은 손상된 지갑으로 더 이상의 입금을 중지하는 것입니다.

Rome Protocol의 공동 창립자인 Sattvik Kansal은 공격의 심각성을 강조하며, 공격자의 프라이빗 키 없이는 자금을 회수할 수 없음을 지적했습니다. Tron은 사건에 대한 대응을 하지 않았습니다.

UpdateAccountPermission의 합법적인 목적은 다양한 역할을 수행합니다. 이는 계정 제어를 공유하고, 승인되지 않은 거래를 줄이며, 다중 서명 승인을 요구하여 탈중앙화된 거버넌스를 돕습니다. 개별 사용자들은 여러 키로 계정을 보안하여 유사한 혜택을 얻습니다.

Tron은 블록체인 기능 남용에 직면하고 있는 유일한 존재가 아닙니다. Ethereum에서는, 승인("approve") 및 허가("permit")와 같은 필수 기능이 피싱 사기에서 자주 악용되어 막대한 손실을 초래합니다. 보안 회사인 Scam Sniffer는 2024년 11월에만 피싱 사기로 인해 938만 달러가 손실되었다고 보고했으며, 이 중 상당 부분이 Ethereum에 기인했습니다.

이전 손실 수치로부터의 감소는 지갑 보안의 개선과 사용자 교육의 향상을 시사합니다. 이러한 조치들은 피싱 계획을 방지하는 데 필수적입니다.

UpdateAccountPermission 착취를 방지하는 것은 계정 권한 조작에 필수적인 프라이빗 키를 확보하는 것으로 시작됩니다. Dowsers의 수석 보안 연구원인 Axel Leloup은 Tron's 권한 시스템을 이해하고 정기적으로 검토할 필요성이 있음을 강조했습니다. 그는 프라이빗 키를 오프라인으로 안전하게 저장하고 신뢰할 수 없는 당사자와 공유하지 않도록 조언했습니다.

익명의 희생자의 손상된 지갑은 장치 전반의 소스 코드에 자신의 프라이빗 키가 노출되면서 취약한 운영 보안에서 비롯되었습니다. 추가 보안을 위해 Tiutin은 지갑에 보유한 Tronix(TRX)의 양을 제한하고, UpdateAccountPermission 기능에 필요한 100 TRX 수수료를 고려할 때 TRX를 소모하지 않고 USDT 거래를 허용하는 지갑을 선택할 것을 제안합니다.

Ethereum 및 기타 블록체인의 사용자에게는 피싱 공격이 점점 정교해짐에 따라 강력한 보안 조치가 디지털 자산을 보호하는 데 여전히 중요합니다.