一個嚴重的安全漏洞正威脅超過14,500個Tron加密貨幣錢包的安全,或造成數百萬美元資產面臨失竊風險。根據安全公司AMLBot向Cointelegraph分享的報告,單在2024年最後一季已有2,130個錢包遭到入侵,涉及約3,150萬美元數碼資產。
此次攻擊手法極為隱秘,尤其危險。詳見一般攻擊會快速盜走資金,然而這漏洞讓黑客可無聲無息地控制錢包。他們阻止合法戶主的出金交易,令真正主人無法動用資產。受害人往往不自覺地繼續入金資產,令黑客獲利而毫無察覺。
AMLBot技術總監Mykhailo Tiutin指出,用戶常難以發覺自己錢包被盜。一名匿名受害者因擔心再遭針對,透露曾無意中再存入1,000 USDT,完全不知錢包已被控制。如果資金被即時盜走,他可能早已發現問題。
Tron的UpdateAccountPermission交易本意提升帳戶安全,加入多簽等功能,可設定不同key的角色及交易授權門檻。但當黑客取得私鑰後,反而能新增自己的key,達到授權門檻,反鎖合法擁有人於門外。
Tiutin強調,現時新增key時不會有通知,戶主通常要到發出出金交易才驚覺錢包被控。即使意識到問題,受害者可做選擇有限,建議立即停止再入金至受影響錢包。
Rome Protocol聯合創辦人Sattvik Kansal指出,此攻擊極為嚴重,若沒黑客私鑰,幾乎無法追回資金。Tron官方暫時並未回應事件。
UpdateAccountPermission本身是合法功能,如共管帳戶、限制未授權交易、要求多簽審批,以促進去中心治理。用戶亦可用多把私鑰增強帳戶安全。
Tron並非唯一面對區塊鏈功能被惡意利用的平台。在Ethereum上,關鍵功能如"approve"及"permit"經常被釣魚騙局利用,導致大量損失。據安全公司Scam Sniffer統計,單在2024年11月,因釣魚被騙損失已達938萬美元,Ethereum亦佔重要比例。
過往損失高企,新數字顯示錢包安全和用戶教育有所改善,而這正是防範釣魚詐騙的關鍵。
想防止UpdateAccountPermission被濫用,首先要做好私鑰保安,因私鑰可直接改動帳戶權限。Dowsers首席安全研究員Axel Leloup建議必先了解Tron權限系統並定期檢查,妥善離線儲存私鑰,切勿向不信任者洩露。
上述匿名受害人因操作疏忽,將私鑰寫進多台設備的源碼,最終錢包被盜。Tiutin進一步建議:錢包內宜少存TRX主幣,並選可用USDT、不用燒毀TRX的錢包,因UpdateAccountPermission功能每次要耗100 TRX。
以太坊及其他區塊鏈用戶亦應注意,隨著釣魚手法愈趨高明,強化安全措施對保護數字資產至關重要。