一個潛在的安全漏洞正在影響約14,545個TRON錢包,使數百萬美元的數字資產面臨被盜的風險。
TRON上的安全漏洞威脅到超過14,500個錢包。圖片:cryptomus
導致漏洞的原因
一個鮮為人知的安全漏洞已導致超過14,500個TRON錢包面臨資產被盜的風險。這一漏洞可能導致數百萬美元的數字資產被盜,而錢包所有者毫不知情。
安全公司AMLBot發現,2,130個錢包透過與"UpdateAccountPermission"功能相關的漏洞被入侵,受影響資產總價值高達31.5百萬美元。
這次攻擊之所以特別危險,是因為它很隱蔽。攻擊者不是立即提取資金,而是悄悄控制錢包,使所有者無法發現。他們可以阻止合法交易,讓錢包所有者無法訪問自己的資產。一位受害者表示,他們繼續向被入侵的錢包存入1,000 USDT,卻毫無察覺,因為沒有任何跡象表明錢包已被攻擊。
瞭解UpdateAccountPermission
TRON的UpdateAccountPermission功能旨在透過類似多重簽名的機制增強賬戶安全性,允許錢包所有者分配許可權並設定批准交易所需的閾值。例如,如果交易閾值為10,每個金鑰權重為5,則需要兩個金鑰簽名才能完成交易。
理論上,如果攻擊者控制了錢包,他們可以新增自己的金鑰並調整交易閾值,使其更容易達到。結果是,錢包所有者也無法單獨完成交易,但仍可繼續向被入侵的錢包存入資金,卻毫無察覺。
據AMLBot技術總監Mykhailo Tiutin介紹,沒有任何警告或跡象表明許可權已被更改。受害者只有在嘗試交易時才會發現問題。
即使發現問題,受害者也只能停止向被入侵的錢包存款,卻無法找回被盜資金。
直到收到這條訊息,錢包所有者才意識到問題所在
不僅限於TRON
濫用區塊鏈功能並非TRON獨有。在以太坊上,惡意行為者經常利用"approve"和"permit"等關鍵功能來與去中心化金融(DeFi)平臺互動。
正如Coin68總結的,儘管DeFi不再是焦點,但2024年加密貨幣攻擊造成的損失仍增加了40%。
預防措施
攻擊者利用UpdateAccountPermission功能的前提是洩露私鑰。為了預防,Dowsers安全研究員Axel Leloup強調了充分了解TRON許可權系統並定期檢查賬戶許可權的重要性。
Leloup還警告說,加密貨幣安全的基本原則是安全保管私鑰和助記詞,最好離線儲存,絕不能與任何不可信的人分享。
一位匿名受害者表示,他的錢包被入侵是由於安全性差。這個錢包用於測試智慧合約,其私鑰被嵌入程式碼並在多個裝置間移動。
另一個保護措施是減少儲存在錢包中的TRX數量,特別是對於USDT交易使用者。UpdateAccountPermission功能需要支付100 TRX的費用。Tiutin建議使用不需要消耗TRX的錢包進行USDT交易。
總的來說,保護加密貨幣錢包不僅需要保護私鑰,還需要了解和控制區塊鏈平臺的安全功能。此外,欺騙手段日益複雜難辨,使用者很難完全防範。一個典型例子是最近流行的駭客假扮招聘者的騙局。
Coin68綜合報道
