Уязвимость безопасности Tron кошелька оставляет более 14,000 кошельков уязвимыми - Исследование

Значительная уязвимость безопасности поставила под угрозу более 14,500 криптовалютных кошельков Tron, потенциально подставляя миллионы долларов в активах под угрозу кражи. Эта уязвимость, подробно описанная фирмой безопасности AMLBot в отчете, представленном на Cointelegraph, была компрометирована в 2,130 кошельках только за последний квартал 2024 года. Эти кошельки содержат около $31,5 миллионов в цифровых активах.

Тайный характер этой атаки делает её особенно опасной . В отличие от обычных взломов, которые быстро истощают средства, эта уязвимость позволяет злоумышленникам контролировать кошельки незаметно. Они блокируют законные исходящие транзакции, эффективно лишая законных владельцев доступа к их средствам. Жертвы могут неосознанно продолжать вносить больше активов, обогащая хакеров без какого-либо сознания нарушения.

Мйхайло Тютин, технический директор AMLBot, отметил, насколько сложно жертвам понять, что их кошельки компрометированы. Анонимная жертва, боясь дальнейших атак, поделилась, как он внес дополнительно 1,000 USDT в свой кошелек, не осознавая его компрометированного статуса. Если бы средства были украдены сразу, это было бы ясно сразу.

Транзакция UpdateAccountPermission на Tron предназначена для усиления безопасности аккаунта с такими функциями, как многоподписные функциональности. Она позволяет назначать конкретные роли ключам и устанавливать пороговые значения для авторизации транзакций. Однако, эта функция становится уязвимостью, когда злоумышленники получают доступ к частному ключу. Они могут добавить свои ключи, удовлетворяя минимальные требования к транзакциям и эффективно блокируя законных пользователей.

Тютин указывает на отсутствие уведомлений при добавлении нового ключа, оставляя владельцев в неведении о нарушении до тех пор, пока они не инициируют исходящую транзакцию. Даже после обнаружения проблемы, опции у жертв ограничены. Незамедлительная рекомендация - прекратить дальнейшие депозиты в компрометированный кошелек.

Саттвик Канзал, соучредитель Rome Protocol, подчеркнул серьезность атаки, отметив невозможность восстановления средств без частного ключа злоумышленника. Tron еще не ответил на инцидент.

Законное назначение UpdateAccountPermission выполняет множество ролей. Она позволяет делиться управлением аккаунта, уменьшает несанкционированные транзакции и содействует децентрализованному управлению, требуя одобрения многоподписных операций. Индивидуальные пользователи получают аналогичные преимущества, защищая свои учетные записи с помощью нескольких ключей.

Tron не одинок в столкновении с неправомерным использованием функционалов блокчейна. На Ethereum, важные функции, такие как "approve" и "permit", часто эксплуатируются в фишинг-аферах, приводя к значительным потерям. Scam Sniffer, компания по безопасности, сообщила о потерях в размере $9,38 миллионов от фишинг-атак только в ноябре 2024 года, значительные суммы из которых были приписаны Ethereum.

Падение по сравнению с предыдущими цифрами потерь свидетельствует об улучшении безопасности кошельков и лучшем образовательном обеспечении пользователей. Такие меры крайне важны для предотвращения фишинг-схем.

Предотвращение эксплуатации функции UpdateAccountPermission начинается с защиты частных ключей, которые необходимы для управления разрешениями на аккаунт. Аксель Лелуп, ведущий исследователь безопасности Dowsers, подчеркнул необходимость понимания систем разрешения Tron и проведения регулярных проверок. Он посоветовал безопасно хранить частные ключи в автономном режиме и избегать их обмена с ненадежными сторонами.

Компрометированный кошелек анонимной жертвы стал результатом слабой операционной безопасности, с его частным ключом, отображенным в исходном коде на нескольких устройствах. Для дополнительной защиты Тютин предлагает ограничить количество Tronix (TRX) в кошельках и выбирать кошельки, позволяющие транзакции USDT без сжигания TRX, учитывая необходимую плату в 100 TRX для функции UpdateAccountPermission.

Для пользователей Ethereum и других блокчейнов, несмотря на то, что фишинговые атаки становятся все более утонченными, надежные меры безопасности остаются критическими для защиты цифровых активов.