Een aanzienlijk beveiligingslek heeft meer dan 14.500 Tron cryptocurrency-wallets in gevaar gebracht, waardoor miljoenen dollars aan activa mogelijk zijn blootgesteld aan diefstal. Deze kwetsbaarheid, gedetailleerd door beveiligingsfirma AMLBot in een rapport gedeeld met Cointelegraph, compromitteerde alleen al in het laatste kwartaal van 2024 2.130 wallets. Deze wallets bevatten ongeveer $31,5 miljoen aan digitale activa.
De onopvallende aard van deze aanval maakt het bijzonder gevaarlijk. In tegenstelling tot conventionele hacks die snel fondsen aftappen, stelt deze exploit aanvallers in staat om wallets onopgemerkt te controleren. Ze blokkeren legitieme uitgaande transacties, waardoor rechtmatige eigenaren effectief de toegang tot hun fondsen wordt ontzegd. Slachtoffers kunnen onbewust meer activa blijven storten, waardoor de hackers zonder enig besef van de inbreuk verrijkt worden.
Mykhailo Tiutin, Chief Technology Officer bij AMLBot, merkte op dat slachtoffers moeite hebben om te begrijpen dat hun wallets zijn gecompromitteerd. Een anoniem slachtoffer, dat verdere gerichte aanvallen vreesde, deelde hoe hij nog eens 1.000 USDT in zijn wallet stortte, zich niet bewust van de gecompromitteerde status ervan. Als fondsen direct waren gestolen, zou dat meteen duidelijk zijn geweest.
Tron's UpdateAccountPermission-transactie is ontworpen om de accountbeveiliging te versterken met functies zoals multisig-functionaliteiten. Het staat de toewijzing van specifieke rollen aan sleutels en het instellen van drempels voor transactieverificatie toe. Echter, deze functie wordt een kwetsbaarheid wanneer aanvallers toegang krijgen tot een privésleutel. Ze kunnen hun sleutels toevoegen, aan de transactiedrempels voldoen en effectieve gebruikers buitensluiten.
Tiutin wijst op het gebrek aan melding wanneer een nieuwe sleutel wordt toegevoegd, waardoor eigenaren zich niet bewust zijn van de inbreuk totdat ze een uitgaande transactie starten. Zelfs na het ontdekken van het probleem zijn de opties voor slachtoffers beperkt. Het onmiddellijke advies is om verdere stortingen in de gecompromitteerde wallet te stoppen.
Sattvik Kansal, medeoprichter van Rome Protocol, wees op de ernst van de aanval en merkte op hoe onmogelijk het is om fondsen terug te krijgen zonder de privésleutel van de aanvaller. Tron heeft nog niet gereageerd op het voorval.
Het legitieme doel van UpdateAccountPermission dient vele rollen. Het maakt gedeelde accountcontrole mogelijk, vermindert ongeautoriseerde transacties en ondersteunt gedecentraliseerd bestuur door het vereisen van multisignature goedkeuringen. Individuele gebruikers profiteren op vergelijkbare wijze door accounts met meerdere sleutels te beveiligen.
Tron is niet alleen in het misbruik van blockchain-functionaliteiten. Op Ethereum worden essentiële functies zoals "approve" en "permit" vaak uitgebuit in phishing-aanvallen, wat leidt tot aanzienlijke verliezen. Scam Sniffer, een beveiligingsbedrijf, rapporteerde $9,38 miljoen verloren aan phishing-aanvallen in november 2024 alleen, met aanzienlijke bedragen toe te wijzen aan Ethereum.
De afname van eerdere verliescijfers suggereert verbeteringen in wallet-beveiliging en betere gebruikerseducatie. Dergelijke maatregelen zijn cruciaal in het voorkomen van phishing-schema's.
Het voorkomen van exploitatie van UpdateAccountPermission begint met het beveiligen van privésleutels, die essentieel zijn voor het manipuleren van accountmachtigingen. Axel Leloup, hoofd beveiligingsonderzoeker bij Dowsers, benadrukte de noodzaak om Tron's machtigingssysteem te begrijpen en regelmatige controle toe te passen. Hij adviseerde om privésleutels veilig offline op te slaan en te vermijden deze met niet-vertrouwde partijen te delen.
De gecompromitteerde wallet van het anonieme slachtoffer was het resultaat van slechte operationele beveiliging, waarbij zijn privésleutel werd blootgesteld in broncode op verschillende apparaten. Om verder te beveiligen, stelt Tiutin voor om de hoeveelheid Tronix (TRX) in wallets te beperken en te kiezen voor wallets die USDT-transacties toestaan zonder TRX te verbranden, gezien de 100 TRX-kosten die nodig zijn voor de UpdateAccountPermission-functie.
Voor gebruikers van Ethereum en andere blockchains, terwijl phishing aanvallen steeds geavanceerder worden, blijven robuuste beveiligingsmaatregelen van cruciaal belang om digitale activa te beschermen.