Một lỗ hổng bảo mật tiềm ẩn đang ảnh hưởng đến khoảng 14.545 ví TRON, khiến hàng triệu USD tài sản số đối mặt với nguy cơ bị đánh cắp.
Lỗ hổng bảo mật trên TRON đe dọa hơn 14.500 ví. Ảnh: cryptomus
Ng...

<div>Một lỗ hổng bảo mật tiềm ẩn đang ảnh hưởng đến khoảng 14.545 ví TRON, khiến hàng triệu USD tài sản số đối mặt với nguy cơ bị đánh cắp.<img src="https://cdn.coin68.com/images/20250122041307-892fdd21-c7a9-45b0-8ba7-7b6247aae913-20.jpg" alt="">Lỗ hổng bảo mật trên TRON đe dọa hơn 14.500 ví. Ảnh: cryptomus<h2>Nguyên nhân gây ra lỗ hổng</h2>Một lỗ hổng bảo mật ít được biết đến đã khiến hơn 14.500 ví <a href="https://coin68.com/doanh-thu-tren-tron-vuot-mat-ethereum-trong-90-ngay-qua/" rel="nofollow">TRON</a> rơi vào nguy cơ bị chiếm đoạt tài sản. Lỗ hổng này đã dẫn đến việc hàng triệu USD tài sản số có thể bị đánh cắp mà chủ ví không hề hay biết. AMLBot, một công ty bảo mật, phát hiện rằng 2.130 ví đã bị xâm nhập thông qua lỗ hổng liên quan đến tính năng UpdateAccountPermission, với tổng giá trị tài sản bị ảnh hưởng lên tới 31,5 triệu USD.Điều khiến cuộc tấn công này đặc biệt nguy hiểm là tính ẩn mình của nó. Thay vì rút tiền ngay lập tức, kẻ tấn công có thể chiếm quyền kiểm soát ví mà không bị phát hiện. Chúng có thể ngừng các giao dịch hợp lệ, khiến chủ ví không thể truy cập tài sản của mình. Một nạn nhân đã chia sẻ rằng họ tiếp tục gửi 1.000 USDT vào ví của mình mà không nhận ra ví đã bị chiếm đoạt, vì không có dấu hiệu nào cho thấy ví đã bị tấn công.<h2>Hiểu rõ về UpdateAccountPermission</h2>Chức năng UpdateAccountPermission của TRON được thiết kế để tăng cường bảo mật tài khoản thông qua cơ chế tương tự multisig, cho phép chủ ví phân quyền và thiết lập các ngưỡng cần thiết để phê duyệt giao dịch. Ví dụ, nếu ngưỡng giao dịch là 10 và mỗi khóa có trọng số 5, cả hai khóa phải ký xác nhận thì giao dịch mới được thực hiện.Lý thuyết là vậy, nếu kẻ tấn công chiếm được ví, chúng có thể thêm khóa của mình vào tài khoản và điều chỉnh ngưỡng giao dịch sao cho việc vượt qua ngưỡng này trở nên khả thi. Kết quả là chủ ví cũng không thể hoàn tất giao dịch một mình, song vẫn có thể tiếp tục gửi tiền vào ví bị xâm nhập mà không nhận ra.Theo lời của Mykhailo Tiutin, Giám đốc Công nghệ AMLBot, không có cảnh báo hay dấu hiệu nào nhận biết ví đã bị thay đổi quyền hạn. Các nạn nhân chỉ phát hiện ra khi họ cố gắng thực hiện giao dịch và không thể hoàn thành.Ngay cả khi phát giác ra sự cố, các nạn nhân chỉ còn lại một lựa chọn là ngừng gửi tiền vào ví bị xâm nhập, và cũng không có cách nào khôi phục được tiền.<img src="https://cdn.coin68.com/images/20250122041307-721e4267-8b9b-4273-9e3b-a132a50713dd-105.jpg" alt="">Đến khi nhận thông báo này chủ ví mới nhận ra vấn đề<h2>Không chỉ riêng trên TRON</h2>Việc lạm dụng các chức năng blockchain không chỉ xảy ra trên TRON. Trên Ethereum, các tác nhân xấu thường lợi dụng các chức năng phổ biến như “approve” và “permit” vốn rất quan trọng trong việc tương tác với các nền tảng tài chính phi tập trung (DeFi).<a href="https://coin68.com/thiet-hai-tu-tan-cong-crypto-tang-nam-2024-defi-khong-con-la-tam-diem/" rel="nofollow">Như Coin68 đã tổng hợp</a>, thiệt hại từ tấn công crypto đã tăng 40% trong năm 2024, dù DeFi không còn là tâm điểm.<img src="https://cdn.coin68.com/images/20250122041307-1cf20c23-f750-425c-ae83-3c9207706cba-11.jpg" alt=""><h2>Cách phòng tránh</h2>Điều kiện tiên quyết để kẻ tấn công khai thác chức năng UpdateAccountPermission là rò rỉ khóa riêng (private key). Để phòng tránh, Axel Leloup, nhà nghiên cứu bảo mật tại Dowsers, nhấn mạnh tầm quan trọng của việc hiểu rõ hệ thống quyền hạn của TRON và kiểm tra thường xuyên quyền hạn tài khoản.Leloup cũng cảnh báo về nguyên tắc cơ bản trong bảo mật tiền mã hóa là lưu trữ private key cũng như <a href="https://coin68.com/seed-phrase-la-gi/" rel="nofollow">seed phrase</a> an toàn, tốt nhất là ngoại tuyến, và không bao giờ chia sẻ với bất kỳ ai không đáng tin cậy.Một nạn nhân ẩn danh đã chia sẻ rằng ví của anh ta bị xâm nhập do bảo mật kém. Ví này được sử dụng để thử nghiệm hợp đồng thông minh, và khóa riêng của nó đã được nhúng trong mã nguồn và di chuyển qua nhiều thiết bị khác nhau.Một biện pháp bảo vệ khác là giảm số lượng <a href="https://coin68.com/tron-la-gi-tat-tan-tat-ve-dong-tron-trx/" rel="nofollow">TRON (TRX)</a> lưu trữ trong ví, đặc biệt đối với người dùng giao dịch USDT. Chức năng UpdateAccountPermission yêu cầu một khoản phí 100 TRX. Tiutin khuyến nghị sử dụng ví cho phép giao dịch USDT mà không cần tiêu tốn TRX.Nhìn chung, bảo mật ví crypto không chỉ đơn giản là bảo vệ khóa riêng mà còn nằm ở câu chuyện hiểu và kiểm soát các chức năng bảo mật trên nền tảng blockchain. Hơn nữa, các chiêu trò lừa đảo ngày càng tinh vi và khó lường, khiến người dùng khó có thể phòng tránh tuyệt đối. Một ví dụ điển hình là chiêu thức <a href="https://coin68.com/chieu-thuc-moi-de-hacker-crypto-tan-cong-nguoi-tim-viec-lam/" rel="nofollow">hacker giả dạng làm nhà tuyển dụng</a> đang nổi cộm gần đây. Coin68 tổng hợp</div>

Lỗ hổng bảo mật trên TRON đe dọa hơn 14.500 ví

一个潜在的<lỗ hổng bảo mật>正在影响大约14,545个TRON钱包,使数百万<USD>加密资产面临被盗的风险。

TRON上的<lỗ hổng bảo mật>威胁到超过14,500个钱包。图片来源:cryptomus

<div>一个潜在的安全漏洞正在影响约14,545个TRON钱包,使数百万美元的数字资产面临被盗的风险。<img src="https://cdn.coin68.com/images/20250122041307-892fdd21-c7a9-45b0-8ba7-7b6247aae913-20.jpg" alt="">TRON上的安全漏洞威胁到超过14,500个钱包。图片:cryptomus<h2>导致漏洞的原因</h2>一个鲜为人知的安全漏洞已导致超过14,500个<a href="https://coin68.com/doanh-thu-tren-tron-vuot-mat-ethereum-trong-90-ngay-qua/" rel="nofollow">TRON</a>钱包面临资产被盗的风险。这一漏洞可能导致数百万美元的数字资产被盗,而钱包所有者毫不知情。安全公司AMLBot发现,2,130个钱包通过与"UpdateAccountPermission"功能相关的漏洞被入侵,受影响资产总价值高达31.5百万美元。这次攻击之所以特别危险,是因为它很隐蔽。攻击者不是立即提取资金,而是悄悄控制钱包,使所有者无法发现。他们可以阻止合法交易,让钱包所有者无法访问自己的资产。一位受害者表示,他们继续向被入侵的钱包存入1,000 USDT,却毫无察觉,因为没有任何迹象表明钱包已被攻击。<h2>了解UpdateAccountPermission</h2>TRON的UpdateAccountPermission功能旨在通过类似多重签名的机制增强账户安全性,允许钱包所有者分配权限并设置批准交易所需的阈值。例如,如果交易阈值为10,每个密钥权重为5,则需要两个密钥签名才能完成交易。理论上,如果攻击者控制了钱包,他们可以添加自己的密钥并调整交易阈值,使其更容易达到。结果是,钱包所有者也无法单独完成交易,但仍可继续向被入侵的钱包存入资金,却毫无察觉。据AMLBot技术总监Mykhailo Tiutin介绍,没有任何警告或迹象表明权限已被更改。受害者只有在尝试交易时才会发现问题。即使发现问题,受害者也只能停止向被入侵的钱包存款,却无法找回被盗资金。<img src="https://cdn.coin68.com/images/20250122041307-721e4267-8b9b-4273-9e3b-a132a50713dd-105.jpg" alt="">直到收到这条消息,钱包所有者才意识到问题所在<h2>不仅限于TRON</h2>滥用区块链功能并非TRON独有。在以太坊上,恶意行为者经常利用"approve"和"permit"等关键功能来与去中心化金融(DeFi)平台互动。<a href="https://coin68.com/thiet-hai-tu-tan-cong-crypto-tang-nam-2024-defi-khong-con-la-tam-diem/" rel="nofollow">正如Coin68总结的</a>,尽管DeFi不再是焦点,但2024年加密货币攻击造成的损失仍增加了40%。<img src="https://cdn.coin68.com/images/20250122041307-1cf20c23-f750-425c-ae83-3c9207706cba-11.jpg" alt=""><h2>预防措施</h2>攻击者利用UpdateAccountPermission功能的前提是泄露私钥。为了预防,Dowsers安全研究员Axel Leloup强调了充分了解TRON权限系统并定期检查账户权限的重要性。Leloup还警告说,加密货币安全的基本原则是安全保管私钥和<a href="https://coin68.com/seed-phrase-la-gi/" rel="nofollow">助记词</a>,最好离线保存,绝不能与任何不可信的人分享。一位匿名受害者表示,他的钱包被入侵是由于安全性差。这个钱包用于测试智能合约,其私钥被嵌入代码并在多个设备间移动。另一个保护措施是减少存储在钱包中的<a href="https://coin68.com/tron-la-gi-tat-tan-tat-ve-dong-tron-trx/" rel="nofollow">TRX</a>数量,特别是对于USDT交易用户。UpdateAccountPermission功能需要支付100 TRX的费用。Tiutin建议使用不需要消耗TRX的钱包进行USDT交易。总的来说,保护加密货币钱包不仅需要保护私钥,还需要了解和控制区块链平台的安全功能。此外,欺骗手段日益复杂难辨,用户很难完全防范。一个典型例子是最近流行的<a href="https://coin68.com/chieu-thuc-moi-de-hacker-crypto-tan-cong-nguoi-tim-viec-lam/" rel="nofollow">黑客假扮招聘者</a>的骗局。Coin68综合报道</div>

TRON安全漏洞威胁超过 14,500 个钱包

加密行业的下一阶段发展正在悄然进行，围绕加密的报道正逐渐转向其在日常生活中的应用。加密日益普及……

2026年最值得关注的加密货币趋势有哪些？

巴西的一个实验艺术项目获准筹集 197,000镁，用于举办一场音乐会，将实时比特币价格数据转化为交响乐。

巴西交响乐团将比特币价格波动转化为现场交响乐。

ME News 消息，12 月 24 日（UTC+8）， 易理华在 X 平台发文表示，其认为当前是 ETH 的最佳买入区间，并看好 2026 年牛市，将 ETH 未来目标价定为 1 万美元。易理华回顾过往经历称，曾在 BTC 处于 7000 至 8000 美元时因无法忍受熊市而清仓，虽避开 312 下跌，却错失后续涨至 6.9 万美元的行情。针对当前市场，易理华表示已在 1011 前完成逃顶清仓，...