ข้อบกพร่องด้านความปลอดภัยที่สำคัญได้ทำให้กระเป๋าเงินสกุลเงินดิจิทัล Tron กว่า 14,500 ใบตกอยู่ในอันตราย โดยมีความเสี่ยงในการเปิดเผยสินทรัพย์มูลค่าหลายล้านดอลลาร์ต่อการลักขโมย จุดบกพร่องนี้ถูกระบุโดยบริษัทความปลอดภัย AMLBot ในรายงานที่แชร์กับ Cointelegraph โดยในไตรมาสสุดท้ายของปี 2024 เพียงอย่างเดียวมีการละเมิดกระเป๋าเงินถึง 2,130 ใบ กระเป๋าเหล่านี้ถือครองสินทรัพย์ดิจิทัลประมาณ 31.5 ล้านดอลลาร์

ลักษณะที่เรียบง่ายของการโจมตีนี้ทำให้เป็นอันตรายเป็นพิเศษ อันตราย ซึ่งแตกต่างจากการแฮ็กทั่วไปที่ดูดวงเงินออกอย่างรวดเร็ว การโจมตีนี้อนุญาตให้ผู้โจมตีควบคุมกระเป๋าเงินโดยไม่มีการตรวจพบ พวกเขาบล็อกการทำธุรกรรมขาออกที่แท้จริง ทำให้เจ้าของที่ถูกต้องไม่สามารถเข้าถึงเงินของตนได้ เหยื่ออาจไม่รู้เรื่องและยังคงฝากสินทรัพย์เพิ่มเติม ทำให้แฮกเกอร์รวยขึ้นโดยไม่รู้ว่าเกิดการบุกรุก

มิกาอิโล ติวติน ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ AMLBot ระบุถึงความยากลำบากที่เหยื่อพบในการเข้าใจว่ากระเป๋าของพวกเขาถูกละเมิด เหยื่อที่ไม่ระบุตัวตนรายหนึ่ง, ซึ่งกลัวว่าจะถูกโจมตีซ้ำ, เล่าถึงการฝากเงินอีก 1,000 USDT เข้าไปในกระเป๋าของเขาโดยไม่รู้ว่ามันถูกละเมิด ถ้าเงินถูกขโมยไปโดยตรง จะเป็นที่ทราบทันที

การทำธุรกรรม UpdateAccountPermission ของ Tron ถูกออกแบบมาเพื่อเสริมความปลอดภัยของบัญชีด้วยฟังก์ชั่นต่าง ๆ เช่นการทำงานของ multisig มันอนุญาตให้มีการกำหนดบทบาทเฉพาะให้กับคีย์และการตั้งค่าเพดานสำหรับการอนุญาตการทำธุรกรรม อย่างไรก็ตาม ฟีเจอร์นี้กลายเป็นช่องโหว่เมื่อนักโจมตีเข้าถึงคีย์ส่วนตัวได้ พวกเขาสามารถเพิ่มคีย์ของตนเองและปฏิบัติตามเพดานการทำธุรกรรม และล็อคผู้ใช้ที่ถูกกฎหมายออก

ติวติน ชี้ให้เห็นถึงการขาดการแจ้งเตือนเมื่อเพิ่มคีย์ใหม่ ทำให้เจ้าของไม่รู้การบุกรุกจนกว่าพวกเขาจะเริ่มการทำธุรกรรมขาออก แม้หลังจากค้นพบปัญหาแล้ว ทางเลือกของเหยื่อลดลง คำแนะนำทันทีคือหยุดการฝากเพิ่มเติมเข้าไปในกระเป๋าที่ถูกละเมิด

สัตวิก กันซาล ผู้ร่วมก่อตั้ง Rome Protocol กล่าวถึงความร้ายแรงของการโจมตีที่ไม่สามารถกู้คืนเงินได้หากไม่มีคีย์ส่วนตัวของผู้โจมตี Tron ยังไม่ตอบสนองต่อเหตุการณ์นี้

วัตถุประสงค์ที่ถูกต้องของ UpdateAccountPermission ทำหน้าที่หลากหลาย มันทำให้สามารถควบคุมบัญชีร่วม, ลดการทำธุรกรรมโดยไม่ได้รับอนุญาต, และช่วยในการจัดการแบบกระจายศูนย์โดยต้องการการอนุมัติแบบมัลติซิก ผู้ใช้แต่ละคนได้รับประโยชน์คล้ายกันโดยการรักษาบัญชีด้วยหลายคีย์

Tron ไม่ได้อยู่คนเดียวในการเผชิญหน้าการใช้งานฟังก์ชั่นบล็อกเชนในทางที่ผิด บน Ethereum ฟังก์ชั่นที่จำเป็นเช่น "approve" และ "permit" มักถูกใช้ในกลโกง phishing, นำไปสู่การสูญเสียจำนวนมาก Scam Sniffer, บริษัทความปลอดภัย, รายงานการสูญเสีย 9.38 ล้านดอลลาร์ให้กับกลโกง phishing ในเดือนพฤศจิกายน 2024 เพียงเท่านั้น, โดยส่วนมากอยู่บน Ethereum

การลดลงจากตัวเลขการสูญเสียครั้งก่อน ๆ ชี้ให้เห็นถึงการปรับปรุงในความปลอดภัยของกระเป๋าและการศึกษาแก่ผู้ใช้ที่ดีขึ้น มาตรการดังกล่าวมีความสำคัญในการป้องกันการโกง phishing

การป้องกันการใช้ประโยชน์จาก UpdateAccountPermission เริ่มต้นด้วยการรักษาความปลอดภัยของคีย์ส่วนตัวที่จำเป็นในการจัดการการอนุมัติของบัญชี แอ็กเซล เลลูป นักวิจัยความปลอดภัยระดับสูงที่ Dowsers เน้นย้ำถึงความจำเป็นในการทำความเข้าใจเกี่ยวกับระบบการอนุญาตของ Tron และการทบทวนเป็นประจำ เขาแนะนำให้จัดเก็บคีย์ส่วนตัวอย่างปลอดภัยแบบออฟไลน์และหลีกเลี่ยงการแชร์กับบุคคลที่ไม่น่าเชื่อถือ

กระเป๋าที่ถูกละเมิดของเหยื่อที่ไม่ระบุตัวตนเกิดจากความปลอดภัยในการปฏิบัติการที่ไม่ดี โดยคีย์ส่วนตัวของเขาถูกเปิดเผยในซอร์สโค้ดที่กระจายอยู่หลายอุปกรณ์ ในการป้องกันเพิ่มเติม ติวตินแนะนำให้จำกัดจำนวน Tronix (TRX) ในกระเป๋าและเลือกกระเป๋าที่อนุญาตให้ทำธุรกรรม USDT โดยไม่ต้องเผา TRX เนื่องจากมีค่าธรรมเนียม 100 TRX ที่จำเป็นสำหรับฟังก์ชั่น UpdateAccountPermission

สำหรับผู้ใช้ Ethereum และบล็อกเชนอื่น ๆ, เมื่อการโจมตี phishing ทวีความรุนแรงขึ้น, มาตรการรักษาความปลอดภัยที่แข็งแกร่งยังเป็นสิ่งสำคัญในการปกป้องสินทรัพย์ดิจิทัลของตน