Uma falha de segurança significativa colocou em risco mais de 14.500 carteiras de criptomoeda Tron, potencialmente expondo milhões de dólares em ativos a roubo. Essa vulnerabilidade, detalhada pela empresa de segurança AMLBot em um relatório compartilhado com o Cointelegraph, comprometeu 2.130 carteiras somente no último trimestre de 2024. Essas carteiras contêm aproximadamente $31,5 milhões em ativos digitais.
A natureza furtiva desse ataque o torna particularmente perigoso. Ao contrário dos hacks convencionais que rapidamente drenam fundos, esse exploit permite que atacantes controlem carteiras sem serem detectados. Eles bloqueiam transações de saída legítimas, efetivamente negando aos proprietários legítimos o acesso aos seus fundos. As vítimas podem continuar depositando mais ativos sem saber, enriquecendo os hackers sem qualquer consciência da violação.
Mykhailo Tiutin, Diretor de Tecnologia da AMLBot, destacou a dificuldade das vítimas em compreender que suas carteiras foram comprometidas. Uma vítima anônima, temendo novos ataques, compartilhou como depositou 1.000 USDT adicionais em sua carteira, sem saber da sua condição comprometida. Se os fundos tivessem sido roubados diretamente, teria sido evidente imediatamente.
A transação UpdateAccountPermission da Tron é projetada para reforçar a segurança das contas com funcionalidades como assinaturas múltiplas. Ela permite a atribuição de papéis específicos a chaves e a definição de limites para autorização de transações. No entanto, esse recurso se torna uma vulnerabilidade quando os atacantes acessam uma chave privada. Eles podem adicionar suas chaves, atender aos limites de transação e efetivamente bloquear usuários legítimos.
Tiutin destaca a falta de notificação quando uma nova chave é adicionada, deixando os proprietários sem consciência da violação até que iniciem uma transação de saída. Mesmo após descobrir o problema, as opções para as vítimas são limitadas. O conselho imediato é parar novos depósitos na carteira comprometida.
Sattvik Kansal, cofundador do Rome Protocol, destacou a seriedade do ataque, observando a impossibilidade de recuperar fundos sem a chave privada do atacante. A Tron ainda não respondeu ao incidente.
O propósito legítimo do UpdateAccountPermission serve para muitos papéis. Ele habilita o controle compartilhado de contas, reduz as transações não autorizadas e auxilia na governança descentralizada, exigindo aprovações de múltiplas assinaturas. Usuários individuais se beneficiam de forma semelhante ao proteger contas com várias chaves.
A Tron não está sozinha ao enfrentar o uso indevido de funcionalidades de blockchain. No Ethereum, funções essenciais como "aprovar" e "permitir" são frequentemente exploradas em golpes de phishing, levando a perdas substanciais. A Scam Sniffer, uma empresa de segurança, relatou uma perda de $9,38 milhões com golpes de phishing somente em novembro de 2024, com montantes significativos atribuídos ao Ethereum.
O declínio nos números de perda anteriores sugere melhorias na segurança das carteiras e uma melhor educação dos usuários. Tais medidas são cruciais na prevenção de esquemas de phishing.
Prevenir a exploração do UpdateAccountPermission começa com a segurança das chaves privadas, que são essenciais para manipular permissões de conta. Axel Leloup, principal pesquisador de segurança na Dowsers, destacou a necessidade de entender os sistemas de permissão da Tron e realizar revisões regulares. Ele aconselhou armazenar chaves privadas de forma segura offline e evitar compartilhá-las com partes não confiáveis.
A carteira comprometida da vítima anônima resultou de uma segurança operacional precária, com sua chave privada exposta no código-fonte em vários dispositivos. Para garantir ainda mais a segurança, Tiutin sugere limitar a quantidade de Tronix (TRX) em carteiras e optar por carteiras que permitem transações USDT sem queimar TRX, dado a taxa de 100 TRX necessária para a função UpdateAccountPermission.
Para usuários de Ethereum e outras blockchains, à medida que os ataques de phishing se tornam cada vez mais sofisticados, medidas de segurança robustas permanecem críticas para proteger ativos digitais.