一个重大安全缺陷使超过14,500个波场加密货币钱包面临风险，可能导致价值数百万美元的资产被盗。这个漏洞由安全公司AMLBot在与Cointelegraph共享的报告中详述，仅在2024年最后一个季度该漏洞已影响2,130个钱包。这些钱包中持有大约3,150万美元的数字资产。

这种攻击的隐蔽性使其特别危险。与常规黑客迅速耗尽资金不同，这种攻击允许攻击者在不被察觉的情况下控制钱包。他们阻止合法的出站交易，有效地拒绝合法所有者访问他们的资金。受害者可能在不知情的情况下继续存入更多资产，从而富裕了黑客，而不了解漏洞。

AMLBot的首席技术官Mykhailo Tiutin指出，受害者在理解他们的钱包已受损方面面临的困难。一位匿名受害者出于对进一步攻击的担忧，分享了他如何向钱包存入额外的1,000 USDT，却不知道它已被入侵。如果资金被直接盗走，他会立即意识到问题的严重性。

波场的UpdateAccountPermission交易旨在通过多重签名功能等特点来增强帐户安全。它允许为密钥分配特定角色，并为交易授权设定门槛。然而，当攻击者获得私钥时，这一功能就变成了漏洞。他们可以添加自己的密钥，达到交易门槛，从而有效地将合法用户拒之门外。

Tiutin指出，当添加新密钥时缺乏通知，导致所有者直到发起出站交易时才意识到被入侵。即使发现问题，受害者的选择也有限。直接的建议是停止进一步向被入侵钱包存款。

Rome Protocol的联合创始人Sattvik Kansal强调了此次攻击的严重性，指出在没有攻击者私钥的情况下，几乎无法恢复资金。到目前为止，波场尚未对此事件作出回应。

UpdateAccountPermission的合法目的有许多作用。它能实现共享账户控制，减少未授权交易，并通过需要多重签名批准支持去中心化治理。个人用户也可以通过使用多个密钥保护账户，从中受益。

波场并非唯一一个面临区块链功能滥用的平台。在以太坊上，"approve"和"permit"等基本功能经常被利用于网络钓鱼骗局，导致巨大损失。据Scam Sniffer，一家安全公司报告，仅在2024年11月，以太坊相关的网络钓鱼骗局就导致了938万美元的损失。

与先前的损失数字下降表明钱包安全性和用户教育有所提高。这些措施对于防止网络钓鱼方案至关重要。

防止UpdateAccountPermission被滥用始于保护私钥，私钥是操控账户权限的关键。Dowsers的首席安全研究员Axel Leloup强调了理解波场权限系统和定期审查的必要性。他建议将私钥安全地存储在离线环境中，并避免与不可信任的方共享。

匿名受害者的钱包被入侵是由于操作安全性差，他的私钥在多个设备的源代码中曝光。为了进一步保护安全，Tiutin建议限制钱包中的Tronix (TRX)的金额，并选择允许进行不烧毁TRX的USDT交易的钱包，因为UpdateAccountPermission功能需要100 TRX的费用。

对于以太坊和其他区块链的用户，由于网络钓鱼攻击愈发复杂化，强有力的安全措施仍然是保护数字资产的关键。