Uma falha de segurança significativa colocou em risco mais de 14.500 carteiras de criptomoeda Tron, potencialmente expondo milhões de dólares em ativos ao roubo. Essa vulnerabilidade, detalhada pela empresa de segurança AMLBot em um relatório compartilhado com Cointelegraph, comprometeu 2.130 carteiras somente no último trimestre de 2024. Essas carteiras contêm aproximadamente $31,5 milhões em ativos digitais.
A natureza furtiva deste ataque o torna particularmente perigoso. Ao contrário de hacks convencionais que rapidamente drenam fundos, este exploit permite que atacantes controlem carteiras sem serem detectados. Eles bloqueiam transações de saída legítimas, efetivamente negando aos proprietários legítimos o acesso a seus fundos. As vítimas podem continuar depositando mais ativos sem saber, enriquecendo os hackers sem qualquer consciência da violação.
Mykhailo Tiutin, diretor de tecnologia na AMLBot, observou a dificuldade que as vítimas enfrentam para compreender que suas carteiras estão comprometidas. Uma vítima anônima, temendo ser alvo novamente, compartilhou como depositou adicionalmente 1.000 USDT em sua carteira, sem saber de seu status comprometido. Se os fundos houvessem sido roubados de imediato, isso teria ficado claro imediatamente.
A transação UpdateAccountPermission da Tron é projetada para reforçar a segurança da conta com funcionalidades como a multisig. Ela permite a atribuição de funções específicas às chaves e a definição de limites para a autorização de transações. No entanto, esse recurso se torna uma vulnerabilidade quando atacantes acessam uma chave privada. Eles podem adicionar suas chaves, atendendo aos limites de transação e efetivamente bloqueando usuários legítimos.
Tiutin aponta a falta de notificação quando uma nova chave é adicionada, deixando os proprietários inconscientes da violação até que iniciem uma transação de saída. Mesmo após a descoberta do problema, as opções para as vítimas são limitadas. O conselho imediato é interromper novos depósitos na carteira comprometida.
Sattvik Kansal, cofundador do Rome Protocol, destacou a seriedade do ataque, observando a impossibilidade de recuperar os fundos sem a chave privada do atacante. A Tron ainda não respondeu ao incidente.
O propósito legítimo do UpdateAccountPermission serve para muitos papéis. Ele permite o controle compartilhado da conta, reduz transações não autorizadas e auxilia a governança descentralizada exigindo aprovações multissignatura. Usuários individuais se beneficiam de maneira semelhante ao proteger contas com várias chaves.
A Tron não está sozinha ao enfrentar o uso inadequado de funcionalidades de blockchain. No Ethereum, funções essenciais como "approve" e "permit" são frequentemente exploradas em golpes de phishing, levando a perdas substanciais. A Scam Sniffer, uma empresa de segurança, relatou $9,38 milhões perdidos para golpes de phishing somente em novembro de 2024, com quantias significativas atribuídas ao Ethereum.
O declínio em relação aos números de perda anteriores sugere melhorias na segurança das carteiras e melhor educação dos usuários. Tais medidas são cruciais na prevenção de esquemas de phishing.
Prevenir a exploração do UpdateAccountPermission começa com a proteção das chaves privadas, que são essenciais para manipular as permissões de conta. Axel Leloup, pesquisador-chefe de segurança na Dowsers, enfatizou a necessidade de compreender os sistemas de permissão da Tron e realizar revisões regulares. Ele aconselhou armazenar chaves privadas de forma segura offline e evitar compartilhá-las com partes não confiáveis.
A carteira comprometida da vítima anônima resultou de uma segurança operacional precária, com sua chave privada exposta no código-fonte em vários dispositivos. Para proteger ainda mais, Tiutin sugere limitar a quantidade de Tronix (TRX) nas carteiras e optar por carteiras que permitam transações de USDT sem queimar TRX, dado a taxa de 100 TRX necessária para a função UpdateAccountPermission.
Para usuários do Ethereum e de outras blockchains, à medida que os ataques de phishing se tornam cada vez mais sofisticados, medidas de segurança robustas continuam sendo críticas para proteger os ativos digitais.