Wiadomości
Usterka bezpieczeństwa portfela Tron naraża na ryzyko ponad 14 000 portfeli - Badanie
check_eligibility

Zdobądź ekskluzywny dostęp do listy oczekujących Yellow Network

Dołącz teraz
check_eligibility

Usterka bezpieczeństwa portfela Tron naraża na ryzyko ponad 14 000 portfeli - Badanie

profile-alexey-bondarev
Alexey BondarevJan, 21 2025 13:38
#Hakerzy
Usterka bezpieczeństwa portfela Tron naraża na ryzyko ponad 14 000 portfeli - Badanie

Znacząca usterka w zakresie bezpieczeństwa naraziła na niebezpieczeństwo ponad 14 500 portfeli kryptowalutowych Tron, potencjalnie narażając na kradzież miliony dolarów w aktywach. Ta luka, szczegółowo opisana przez firmę bezpieczeństwa AMLBot w raporcie udostępnionym Cointelegraph, skompromitowała 2 130 portfeli tylko w ostatnim kwartale 2024 roku. Te portfele przechowują około 31,5 miliona dolarów w aktywach cyfrowych.

Ukryty charakter tego ataku czyni go szczególnie niebezpiecznym. W przeciwieństwie do zwykłych ataków, które szybko opróżniają środki, ten exploit pozwala atakującym na niewykrywalne kontrolowanie portfeli. Blokują oni legalne transakcje wyjściowe, skutecznie uniemożliwiając prawowitym właścicielom dostęp do ich środków. Ofiary mogą nieświadomie kontynuować deponowanie większej liczby aktywów, wzbogacając hackerów bez żadnej świadomości o naruszeniu.

Mykhailo Tiutin, dyrektor ds. technologii w AMLBot, zauważył trudność, z jaką borykają się ofiary, starając się zrozumieć, że ich portfele są skompromitowane. Anonimowa ofiara, bojąc się dalszego ataku, podzieliła się, jak zdeponowała dodatkowe 1 000 USDT na swoim portfelu, nie wiedząc o jego skompromitowanym statusie. Gdyby środki zostały od razu skradzione, byłoby to od razu widoczne.

Transakcja UpdateAccountPermission Trona jest zaprojektowana, aby wzmocnić bezpieczeństwo konta za pomocą funkcji takich jak multisig. Pozwala ona na przypisanie określonych ról do kluczy i ustalenie progów dla autoryzacji transakcji. Jednak ta funkcja staje się luką, gdy atakujący uzyskują dostęp do klucza prywatnego. Mogą oni dodawać swoje klucze, spełniając progi transakcji i skutecznie blokując prawowitych użytkowników.

Tiutin wskazuje brak powiadomienia przy dodaniu nowego klucza, co pozostawia właścicieli nieświadomymi naruszenia aż do momentu zainicjowania transakcji wyjściowej. Nawet po odkryciu problemu opcje dla ofiar są ograniczone. Natychmiastową radą jest zaprzestanie dalszych depozytów na skompromitowany cuenta.

Sattvik Kansal, współzałożyciel Rome Protocol, podkreślił powagę ataku, zauważając niemożność odzyskania środków bez prywatnego klucza atakującego. Tron jeszcze nie odpowiedział na incydent.

Legitne przeznaczenie UpdateAccountPermission pełni wiele ról. Umożliwia wspólną kontrolę konta, zmniejsza liczbę nieautoryzowanych transakcji i wspiera zdecentralizowane zarządzanie wymagając wielosygometrowych zatwierdzeń. Użytkownicy indywidualni korzystają podobnie, zabezpieczając konta za pomocą wielu kluczy.

Tron nie jest jedyny, który zmaga się z nadużywaniem funkcjonalności blockchaina. Na Ethereum, istotne funkcje takie jak "approve" i "permit" są często wykorzystywane w phishingowych oszustwach, prowadząc do znacznych strat. Scam Sniffer, firma zajmująca się bezpieczeństwem, zgłosiła stratę 9,38 miliona dolarów na rzecz phishingowych oszustw tylko w listopadzie 2024 roku, z dużymi kwotami przypisanymi do Ethereum.

Spadek w porównaniu do wcześniejszych danych dotyczących strat sugeruje poprawę w zakresie bezpieczeństwa portfeli i lepszą edukację użytkowników. Takie środki są kluczowe w zapobieganiu schematom phishingowym.

Zapobieganie wykorzystaniu UpdateAccountPermission zaczyna się od zabezpieczenia kluczy prywatnych, które są niezbędne do manipulacji uprawnieniami konta. Axel Leloup, główny badacz ds. zabezpieczeń w Dowsers, podkreślił potrzebę zrozumienia systemów uprawnień Trona i regularnego przeglądu. Zasugerował, aby bezpiecznie przechowywać klucze prywatne offline i unikać dzielenia się nimi z osobami niegodnymi zaufania.

Skompromitowany portfel anonimowej ofiary był wynikiem złej operacyjnej bezpieczeństwa, z ekspozycją klucza prywatnego w kodzie źródłowym na różnych urządzeniach. Aby dalej się zabezpieczyć, Tiutin proponuje ograniczenie ilości Tronix (TRX) w portfelach i wybór portfeli, które pozwalają na transakcje USDT bez spalania TRX, biorąc pod uwagę opłatę 100 TRX wymaganą dla funkcji UpdateAccountPermission.

Dla użytkowników Ethereum i innych blockchainów, jako że ataki phishingowe stają się coraz bardziej zaawansowane, solidne środki bezpieczeństwa pozostają kluczowe dla ochrony aktywów cyfrowych.

Najnowsze wiadomości
Pokaż wszystkie wiadomości
Strata Bybit w wysokości 1,46 mld USD na rzecz północnokoreańskich hakerów ustanawia historyczny rekord
Feb 22, 2025
Firma analityczna blockchain Arkham Intelligence, z wnikliwościami dochodzeniowca łańcucha bloków ZachXBT, przypisała $1,46 miliarda hak na Bybit Grupie Lazarus z Korei Północnej. Arkham, który wcześn
Codzienne Najważniejsze Wydarzenia na Rynku Kryptowalut: Wzrost JELLYJELLY i Fascynacja Sztuczną Inteligencją KAITO Kradną Show
Feb 21, 2025
Memecoiny, tokeny DeFi i ekosystemy kryptowalut wspomagane przez AI przyciągają dziś całą uwagę. Podczas gdy memecoiny takie jak JELLYJELLY i PONKE cieszą się wielkim entuzjazmem społeczności, tokeny
Bybit pada $1.4 mld włamanie do zimnego portfela w wyrafinowanym phishingu
Feb 21, 2025
Giełda kryptowalut Bybit padła ofiarą jednej z największych kradzieży cyfrowych aktywów w historii. Włamanie skutkowało stratami w wysokości około 1,4 miliarda dolarów w tokenach Ethereum z zimnego po
Powiązane wiadomości
Portfele sprzętowe Bitcoin mierzą się z nowym zagrożeniem bezpieczeństwa: Poznaj sztuczkę hakerską "Dark Skippy"
Aug 12, 2024
Nowa metoda hakerska o nazwie "Dark Skippy" sprawia, że użytkownicy Bitcoin są zaniepokojeni. Może ona ukraść klucze prywatne z portfeli sprzętowych w zaledwie dwóch transakcjach. Wrażliwość ta dotycz
Truflation zaatakowany atakiem malware na kwotę 4,6 miliona USD, potwierdza CEO
Sep 26, 2024
Kolejny dzień, kolejny hack. Truflation, projekt blockchain wspierany przez Coinbase Ventures, stał się ofiarą ataku malware. Analitycy blockchain szacują straty na 4,6 miliona USD. To drugi duży ata
Inferno Drainer uderza ponownie: Użytkownik DeFi traci 32 miliony dolarów w zaawansowanym cyberataku
Oct 01, 2024
Inwestor kryptowalutowy stracił 32 miliony dolarów w ataku phishingowym przy użyciu niesławnego narzędzia Inferno Drainer. Incydent miał miejsce 28 września 2024 roku. Po raz pierwszy zgłoszono to pr
Turecka giełda kryptowalut BtcTurk zaatakowana przez hakerów, niektóre gorące portfele zostały naruszone
Jun 23, 2024
BtcTurk, wiodąca turecka giełda kryptowalut, padła ofiarą ataku cybernetycznego. Incydent doprowadził do nieautoryzowanego dostępu do niektórych gorących portfeli. Giełda informuje o stratach aktywów
Oracle Exploit Leaves Rho Markets $7.6M Lighter
Jul 19, 2024
Rho Markets, warstwa płynności i protokół pożyczkowy na Scroll, została dotknięta exploitem. Szkody? Całe 7,6 miliona dolarów w USD Coin. Ała. Hak zdarzył się 19 lipca. Zły aktor dostał się do blockc
Powiązane artykuły
5 Najlepszych Sposobów na Zabezpieczenie Portfela Kryptowalut Przed Hakerami
Dec 31, 2024
Większość nowicjuszy w kryptowalutach spieszy się, aby kupić jakieś tokeny i nie przejmuje się zbytnio tym, gdzie je przechowywać. To może być kluczowy błąd. Zaniedbanie bezpieczeństwa może cię drogo
Top 10 największych włamań do giełd kryptowalutowych w ostatnich latach
Sep 20, 2024
Wczesne godziny 20 września przyniosły wiadomość, że singapurska giełda kryptowalut BingX potwierdziła, że doszło do naruszenia bezpieczeństwa. Incydent spowodował "niewielką utratę aktywów", jak stwi
Top 7 anonimowych portfeli kryptowalutowych, które powinieneś znać
Dec 25, 2024
Prywatność stała się gorącym towarem w świecie finansów cyfrowych. To już nie tylko miły dodatek. Dla wielu entuzjastów kryptowalut to konieczność. Rosnąca akceptacja kryptowalut przyniosła ten probl
10 najlepszych portfeli do przechowywania USDT w 2024 roku
Oct 11, 2024
Przechowywanie USDT, najpopularniejszego stablecoina na świecie, wymaga wybrania odpowiedniego portfela. Istnieje mnóstwo portfeli kryptowalutowych do wyboru, a większość z nich twierdzi, że w pełni w
Top 5 sposobów na zapobieganie atakom front-runningowym w blockchain, o których powinieneś wiedzieć
Jan 11, 2025
Spośród wszystkich zagrożeń, jakie napotyka ten zdecentralizowany ekosystem, ataki front-runningowe należą do najpoważniejszych i najpilniejszych. Czym są ataki front-runningowe i jak się przed nimi c