Önemli bir güvenlik açığı, 14.500'den fazla Tron kripto para cüzdanını tehlikeye atarak milyonlarca dolarlık varlığı hırsızlığa açık hale getirdi. Güvenlik firması AMLBot tarafından Cointelegraph ile paylaşılan bir raporda detaylandırılan bu açıklık, sadece 2024'ün son çeyreğinde 2,130 cüzdanı tehlikeye attı. Bu cüzdanlar yaklaşık 31.5 milyon dolarlık dijital varlık barındırıyor.
Bu saldırının gizli doğası, onu özellikle tehlikeli yapıyor. Fonları hızla boşaltan geleneksel hacklerden farklı olarak, bu açık, saldırganların cüzdanları fark edilmeden kontrol etmesine izin veriyor. Meşru çıkış işlemlerini engelleyerek, hak sahiplerinin fonlarına erişimini etkili bir şekilde engelliyorlar. Kurbanlar, ihlalin farkında olmadan daha fazla varlık yatırmaya devam edebilir ve bu da bilgisizlik içinde hackerleri zenginleştirir.
AMLBot Baş Teknoloji Sorumlusu Mykhailo Tiutin, kurbanların cüzdanlarının tehlikeye girdiğini anlamakta karşılaştığı zorluğa dikkat çekti. Anonim bir kurban, daha fazla hedef alınma korkusuyla, cüzdanına fazladan 1,000 USDT yatırdığını ve durumunu bilmeksizin bunun nasıl gerçekleştiğini paylaştı. Fonlar doğrudan çalınmış olsa, bu hemen ortaya çıkacaktı.
Tron's UpdateAccountPermission işlemi, çoklu imza işlevleri gibi özelliklerle hesap güvenliğini artırmak için tasarlanmıştır. Anahtarlara özel roller atamaya ve işlem yetkilendirmeleri için eşik belirlemeye izin verir. Ancak, özel bir anahtara saldırganlar eriştiğinde bu özellik bir açık haline gelebilir. Kendi anahtarlarını ekleyebilir, işlem eşiklerini karşılayabilir ve meşru kullanıcıların erişimini etkili bir şekilde engelleyebilirler.
Tiutin, yeni bir anahtar eklendiğinde bildirim eksikliğine dikkat çekti, sahiplerinin ihlali bir çıkış işlemi başlatana kadar fark etmesine olanak tanımıyor. Sorun keşfedildikten sonra bile, kurbanlar için seçenekler sınırlıdır. İlk tavsiye, tehlikeye giren cüzdana daha fazla yatırım yapmaktan kaçınmaktır.
Rome Protocol kurucu ortağı Sattvik Kansal, saldırının ciddiyetine dikkat çekti ve saldırganın özel anahtarı olmadan fonların kurtarılamayacağını belirtti. Tron henüz duruma yanıt vermedi.
UpdateAccountPermission'un meşru amacı birçok rol hizmet eder. Paylaşılan hesap kontrolünü sağlar, izinsiz işlemleri azaltır ve çoklu imza onayları gerektirerek merkeziyetsiz yönetime katkıda bulunur. Bireysel kullanıcılar da benzer şekilde hesaplarını birden fazla anahtarla güvence altına alarak fayda sağlar.
Tron, blok zinciri işlevlerinin kötüye kullanılmasında yalnız değil. Ethereum üzerinde, "approve" ve "permit" gibi temel işlevler genellikle oltalama dolandırıcılığında kötüye kullanılarak önemli kayıplara yol açıyor. Bir güvenlik firması olan Scam Sniffer, Kasım 2024'te sadece oltalama dolandırıcılığı nedeniyle 9.38 milyon dolar kaybedildiğini bildirdi, önemli miktarları Ethereum'a atfedildi.
Önceki kayıp figürlerinden düşüş, cüzdan güvenliğinde gelişmeler ve daha iyi kullanıcı eğitimi olduğunu gösteriyor. Bu tür önlemler oltalama saldırılarını önlemede kritik önem taşıyor.
UpdateAccountPermission sömürüsünü önlemek, hesap izinlerini değiştirmek için gerekli olan özel anahtarların güvence altına alınmasıyla başlar. Dowsers'dan baş güvenlik araştırmacısı Axel Leloup, Tron’un izin sistemlerinin anlaşılması ve düzenli değerlendirmeler yapılması gerektiğini vurguladı. Özel anahtarların çevrimdışı olarak güvenli bir şekilde saklanmasını ve güvensiz taraflarla paylaşmaktan kaçınılmasını tavsiye etti.
Anonim kurbanın tehlikeye giren cüzdanı, zayıf operasyonel güvenlikten kaynaklandı, özel anahtarı cihazlar arasında kaynak kodunda açığa çıktı. Daha fazla koruma sağlamak için Tiutin, cüzdanlarda sınırlı Tronix (TRX) bulundurulmasını ve 100 TRX ücreti gerektiren UpdateAccountPermission işlevini ateşlemeden USDT işlemlerine izin veren cüzdanların tercih edilmesini önerir.
Ethereum ve diğer blok zincir kullanıcıları için, oltama saldırıları giderek daha sofistike hale gelirken, sağlam güvenlik önlemleri dijital varlıkları korumada kritik öneme sahiptir.