Значна уразливість безпеки поставила під загрозу більш ніж 14,500 гаманців криптовалюти Tron, потенційно наражаючи мільйони доларів у активах на крадіжку. Цю уразливість, описану фірмою з безпеки AMLBot у звіті, наданому Cointelegraph, було скомпрометовано 2,130 гаманців лише в останньому кварталі 2024 року. Ці гаманці містять приблизно $31.5 мільйонів у цифрових активах.
Непомітний характер цього нападу робить його особливо небезпечним. На відміну від звичайних хаків, що швидко висмоктують кошти, цей експлойт дозволяє зловмисникам керувати гаманцями непомітно. Вони блокують легітимні вихідні транзакції, ефективно позбавляючи законних власників доступу до своїх коштів. Жертви можуть несвідомо продовжувати поповнювати свої активи, збагачуючи хакерів без будь-якої обізнаності про злом.
Михайло Тютін, головний технічний директор AMLBot, зазначив труднощі, з якими стикаються жертви, щоб зрозуміти, що їхні гаманці скомпрометовано. Анонімна жертва, побоюючись подальших цілей, поділилася тим, як вона внесла додаткові 1,000 USDT у свій гаманець, не усвідомлюючи його скомпрометованого стану. Якби кошти було вкрадено одразу, це було б зрозуміло негайно.
Транзакція UpdateAccountPermission на Tron розроблена для посилення безпеки рахунків з такими функціями, як мультипідпис. Вона дозволяє призначати певні ролі ключам і встановлювати пороги для авторизації транзакцій. Проте ця функція стає уразливістю, коли зловмисники отримують доступ до приватного ключа. Вони можуть додати свої ключі, досягаючи порогів транзакцій і фактично блокуючи законних користувачів.
Тютін вказує на відсутність повідомлення, коли додається новий ключ, залишаючи власників незнасвіченими про злом, доки вони не ініціюють вихідну транзакцію. Навіть після виявлення проблеми, варіанти для жертв обмежені. Негайний порада — зупинити подальші внески в скомпрометований гаманець.
Сатвік Канзал, співзасновник Rome Protocol, підкреслив серйозність нападу, зауважуючи неможливість відновлення коштів без приватного ключа зловмисника. Tron ще не відповіла на інцидент.
Легітимна мета UpdateAccountPermission служить багатьом ролям. Вона дозволяє спільний контроль аккаунта, знижує несанкціоновані транзакції і сприяє децентралізованому управлінню, вимагаючи мультипідпису. Індивідуальні користувачі отримують подібну вигоду, забезпечуючи рахунки кількома ключами.
Tron не єдина стикається з неправомірним використанням функцій блокчейну. На Ethereum основні функції, такі як "approve" і "permit", часто експлуатуються у фішингових аферах, що призводить до суттєвих втрат. Scam Sniffer, фірма з безпеки, повідомила про $9.38 мільйонів, втрачених від фішингових афер у листопаді 2024 року, з суттєвими сумами, приписаними Ethereum.
Зниження з попередніх цифр втрат свідчить про покращення у безпеці гаманців і кращій освіті користувачів. Такі заходи є важливими для запобігання фішинговим схемам.
Запобігання експлуатації UpdateAccountPermission починається з забезпечення приватних ключів, які є важливими для маніпулювання дозволами облікового запису. Аксель Лелоуп, головний дослідник безпеки в Dowsers, наголосив на необхідності розуміння систем дозволів Tron і проведення регулярних перевірок. Він радив безпечно зберігати приватні ключі офлайн і уникати їх передачі ненадійним сторонам.
Скомпрометований гаманець анонімної жертви стався через слабку операційну безпеку, при якій її приватний ключ був відкритий у вихідному коді на різних пристроях. Для подальшого захисту Тютін пропонує обмежити кількість Tronix (TRX) у гаманцях і вибирати гаманці, що дозволяють транзакції USDT без спалення TRX, враховуючи 100 TRX плату, потрібну для функції UpdateAccountPermission.
Для користувачів Ethereum та інших блокчейнів, оскільки фішингові атаки стають все складнішими, міцні заходи безпеки залишаються критичними для захисту цифрових активів.