خبراء يحذرون من ثغرة أمنية في محفظة ترون تسمح للمهاجمين بالسيطرة

Written by

Translated by

Written on Jan 21, 2025

Reading time 1 minutes

يستخدم المهاجمون وظيفة UpdateAccountPermission لاستهداف محافظ Tron.
تتيح هذه الثغرة الأمنية للجهات الخبيثة السيطرة على النظام خفيةً.
ويحذر الخبراء من أن آلاف المستخدمين قد يكونون في خطر.

حذر باحثون في شركة الأمن AMLBot من وجود ثغرة أمنية في محافظ تشفير Tron والتي قد تسمح للجهات الخبيثة باستنزاف الأصول المشفرة لملايين المستخدمين.

في تقرير حديث، حذرت شركة الأمن مستخدمي محفظة Tron المشفرة من أن المهاجمين كانوا يستغلون ثغرة أمنية نابعة من وظيفة UpdateAccountPermission ، والتي تسمح لهم بنقل عناصر التحكم في محفظة التشفير دون علم المالك.

يتمكن المهاجمون بعد ذلك من إضافة مفتاحهم إلى المحفظة، وتكوينها لتلبية عتبات المعاملات ومنع المعاملات الصادرة المشروعة.

كما يتم منع الضحايا من الوصول إلى محافظهم ويمكنهم دون علمهم الاستمرار في إيداع الأموال، مما يؤدي إلى إثراء المهاجمين.

وفقًا لـ AMLBot، أدت هذه الثغرات الأمنية إلى هجمات على ما يقرب من 2130 محفظة في الربع الرابع من عام 2024 فقط.

ما هي وظيفة UpdateAccountPermission؟

بالنسبة لمحافظ Tron، فإن وظيفة UpdateAccountPermission هي ميزة أمان مصممة لتعزيز التحكم في الحساب من خلال تمكين المستخدمين من تعيين أدوار محددة للمفاتيح، وتحديد قيم الوزن لكل مفتاح، وتعيين حدود المعاملات.

يخدم هذا حالات الاستخدام مثل إدارة المحفظة المشتركة، حيث يمكن لأطراف متعددة الإشراف على المعاملات والموافقة عليها، والحوكمة اللامركزية، مما يسمح للحسابات التي يتحكم فيها المجتمع بطلب موافقات متعددة التوقيعات عند الوصول إلى الأموال.

كما أنه مفيد للمستخدمين من خلال السماح لهم بتعيين مفاتيح متعددة لمحافظهم، وبالتالي تقليل مخاطر فقدان الوصول بسبب مفتاح واحد معرض للخطر.

ومع ذلك، عند استغلال هذه الميزة، يمكن للمهاجمين إساءة استخدامها للسيطرة على المحافظ.

يحدث هذا عادةً عندما يتمكن المهاجم من الوصول إلى مفتاح خاص مخترق عبر، وفقًا لـ AMLBot.

باستخدام هذا، يمكن للمهاجم إضافة مفتاحه وحظر المستخدم الأصلي.

وهذا أمر محفوف بالمخاطر بشكل خاص لأن المستخدمين لا يتم إخطارهم عند إضافة مفتاح، ويزعم الباحثون أن الطريقة الوحيدة التي يدرك بها المستخدم أن محفظته تعرضت للاختراق هي عندما يحاول تحويل الأموال.

هناك أيضًا قدر محدود من اللجوء بعد الاختراق، حيث يكون المفتاح الخاص للمهاجم مطلوبًا للموافقة على أي معاملات مستقبلية.

بدون الوصول إلى هذا المفتاح، لا يستطيع الضحايا استعادة السيطرة على محافظهم أو استرداد الأموال المقفولة.

ونتيجة لذلك، فإن الإجراء الفوري الوحيد الذي يمكن للمستخدمين اتخاذه هو التوقف عن إيداع الأموال في المحفظة المخترقة لمنع المزيد من الخسائر.

وقد قدرت AMLBot أن ما يقرب من 14,545 مستخدمًا كانوا معرضين للخطر بسبب هذه الثغرة الأمنية.

المحتالون يواصلون سرقة المليارات

أدت الخسائر الناجمة عن عمليات الاختراق والاحتيال إلى خسائر تزيد عن 2.3 مليار دولار في قطاع التشفير في عام 2024، وفقًا لتقرير صادر عن شركة أمن blockchain CertiK.

وكانت المفاتيح الخاصة المسروقة أحد الأسباب الرئيسية وراء الخسائر هذا العام، حيث ارتفعت مثل هذه الهجمات بنسبة 75% مقارنة بعام 2023.

ومن المعروف أن المحتالين يستخدمون البرامج الضارة وتكتيكات التصيد المعقدة للوصول إلى مفاتيح المستخدمين.

وينصح الخبراء بتخزين المفاتيح الخاصة بشكل آمن وتجنب مشاركة المعلومات الحساسة عبر الإنترنت للتخفيف من الخسائر.

كما يوصون بالتحقق بانتظام من أذونات الحساب كإجراء أمان إضافي.

تمت ترجمة هذا المقال من اللغة الإنجليزية بمساعدة أدوات الذكاء الاصطناعي، ثم تمت مراجعته وتحريره بواسطة مترجم محلي.