
Asiantuntijat varoittavat, että Tron-lompakon haavoittuvuus antaa hyökkääjille mahdollisuuden ottaa hallintaansa
- Hyökkääjät käyttävät UpdateAccountPermission-toimintoa kohdistaakseen Tron-lompakoihin.
- Haavoittuvuuden ansiosta huonot toimijat voivat salakavalat ottaa hallintaansa.
- Asiantuntijat varoittavat, että tuhannet käyttäjät voivat olla vaarassa.
Seuraa Invezziä Telegramin, Twitterin ja Google Uutiset kautta saadaksesi välittömiä päivityksiä >
Tietoturvayhtiö AMLBotin tutkijat ovat varoittaneet Tron kryptolompakot haavoittuvuudesta, joka voi antaa huonoille toimijoille mahdollisuuden tyhjentää miljoonien käyttäjien kryptovarat.
Äskettäisessä raportissa tietoturvayritys varoitti Tron kryptolompakko, että hyökkääjät käyttivät hyväkseen UpdateAccountPermission -toiminnosta johtuvaa haavoittuvuutta, jonka avulla he voivat siirtää kryptolompakko hallintaa omistajan tietämättä.
Hyökkääjät voivat sitten lisätä avaimensa lompakkoon, määrittää sen täyttämään tapahtumakynnykset ja estää lailliset lähtevät tapahtumat.
Uhrit ovat myös lukittuina lompakoistaan, ja he voivat tietämättään jatkaa varojen tallettamista, mikä rikastuttaa hyökkääjiä.
AMLBotin mukaan nämä haavoittuvuudet ovat johtaneet hyökkäyksiin noin 2 130 lompakkoon vain vuoden 2024 viimeisellä neljänneksellä.
Mikä on UpdateAccountPermission-toiminto?
Copy link to sectionTron-lompakoissa UpdateAccountPermission-toiminto on suojausominaisuus, joka on suunniteltu parantamaan tilien hallintaa antamalla käyttäjien määrittää tiettyjä rooleja avaimille, määrittää painoarvot kullekin avaimelle ja asettaa tapahtumakynnysarvoja.
Tämä palvelee käyttötapauksia, kuten jaettua lompakon hallintaa, jossa useat osapuolet voivat valvoa ja hyväksyä tapahtumia, ja hajautettua hallintoa, jolloin yhteisön valvomat tilit voivat vaatia usean allekirjoituksen hyväksyntää varojen käytön yhteydessä.
Se hyödyttää myös käyttäjiä, koska he voivat määrittää lompakkoonsa useita avaimia, mikä vähentää riskiä pääsyn menettämisestä yhdestä vaarantuneesta avaimesta.
Hyökkääjät voivat kuitenkin käyttää tätä ominaisuutta väärin lompakoiden hallintaansa.
Tämä tapahtuu yleensä, kun hyökkääjä saa pääsyn vaarantuneeseen yksityiseen avaimeen AMLBotin mukaan.
Tämän avulla hyökkääjä voi lisätä avaimensa ja lukita alkuperäisen käyttäjän.
Tämä on erityisen riskialtista, koska käyttäjille ei ilmoiteta avaimen lisäämisestä, ja tutkijat väittävät, että ainoa tapa, jolla käyttäjä huomaa, että hänen lompakkonsa on vaarantunut, on silloin, kun hän yrittää siirtää varoja.
Hyökkäyksen jälkeen on myös rajoitettu mahdollisuus turvautua, koska hyökkääjän yksityinen avain vaaditaan mahdollisten tulevien tapahtumien valtuuttamiseksi.
Ilman tätä avainta uhrit eivät voi saada takaisin lompakkoaan hallintaansa tai saada takaisin lukittuja varoja.
Tämän seurauksena ainoa välitön toimenpide, jonka käyttäjät voivat tehdä, on lopettaa varojen tallettaminen vaarantuneeseen lompakkoon lisätappioiden estämiseksi.
AMLBot arvioi, että noin 14 545 käyttäjää oli vaarassa tämän haavoittuvuuden vuoksi.
Huijarit varastavat edelleen miljardeja
Copy link to sectionHakkerointien ja huijausten aiheuttamat tappiot johtivat yli 2,3 miljardin dollarin tappioihin kryptoalalla vuonna 2024, lohkoketjun tietoturvayhtiö CertiK:n raportin mukaan.
Yksityiset avaimet olivat yksi tärkeimmistä syistä vuoden tappioiden takana, ja tällaiset hyökkäykset lisääntyivät 75 % vuoteen 2023 verrattuna.
Huijarit käyttävät haittaohjelmia ja monimutkaisia tietojenkalastelutaktiikoita päästäkseen käsiksi käyttäjien avaimiin.
Asiantuntijat neuvovat säilyttämään yksityisiä avaimia turvallisesti ja välttämään arkaluonteisten tietojen jakamista verkossa menetysten vähentämiseksi.
He suosittelevat myös tilin käyttöoikeuksien säännöllistä tarkistamista lisäturvatoimena.
Tämä artikkeli on käännetty englannista tekoälytyökalujen avulla, minkä jälkeen paikallinen kääntäjä on oikolukenut ja muokannut sen.
Advertisement
Kaipaatko helposti seurattavia krypto-, forex- ja osakekauppaa koskevia signaaleja? Yksinkertaista treidaamista kopioimalla ammattitreidaaja-tiimiämme. Johdonmukaiset tulokset. Rekisteröidy tänään osoitteessa Invezz Signals™.
More industry news





