A hooded person holding a physical bitcoin token.

Une vulnérabilité du portefeuille Tron permet aux attaquants de prendre le contrôle, avertissent les experts

Written by
Translated by
Written on Jan 21, 2025
Reading time 4 minutes
  • Les attaquants utilisent la fonction UpdateAccountPermission pour cibler les portefeuilles Tron.
  • Cette vulnérabilité permet aux acteurs malveillants de prendre le contrôle de manière furtive.
  • Des experts avertissent que des milliers d'utilisateurs pourraient être en danger.

Suivez Invezz sur TelegramTwitter, et Google Actualités pour recevoir des notifications de dernière minute >

Des chercheurs de la société de sécurité AMLBot ont mis en garde contre une vulnérabilité dans les wallets crypto Tron qui pourrait permettre aux mauvais acteurs de vider les actifs cryptographiques de millions d’utilisateurs.

Dans un rapport récent, la société de sécurité a alerté les utilisateurs du wallet crypto Tron que des attaquants exploitaient une vulnérabilité issue de la fonction UpdateAccountPermission, qui leur permet de transférer le contrôle d’un wallet crypto sans la connaissance du propriétaire.

Les attaquants peuvent ensuite ajouter leur clé au portefeuille, la configurer pour répondre aux seuils de transaction et bloquer les transactions sortantes légitimes.

Les victimes sont également exclues de leurs portefeuilles et peuvent continuer à déposer des fonds sans le savoir, enrichissant ainsi les attaquants.

Selon AMLBot, ces vulnérabilités ont conduit à des attaques sur environ 2 130 portefeuilles au cours du seul quatrième trimestre de 2024.

Quelle est la fonction UpdateAccountPermission ?

Copy link to section

Pour les portefeuilles Tron, la fonction UpdateAccountPermission est une fonctionnalité de sécurité conçue pour améliorer le contrôle du compte en permettant aux utilisateurs d’attribuer des rôles spécifiques aux clés, de définir des valeurs de poids pour chaque clé et de définir des seuils de transaction.

Cela sert des cas d’utilisation tels que la gestion de portefeuilles partagés, où plusieurs parties peuvent superviser et approuver les transactions, et la gouvernance décentralisée, permettant aux comptes contrôlés par la communauté d’exiger des approbations multi-signatures lors de l’accès aux fonds.

Cela profite également aux utilisateurs en leur permettant d’attribuer plusieurs clés à leurs portefeuilles, réduisant ainsi les risques de perte d’accès en raison d’une seule clé compromise.

Cependant, lorsqu’elle est exploitée, cette fonctionnalité peut être mal utilisée par les attaquants pour prendre le contrôle des portefeuilles.

Cela se produit généralement lorsqu’un attaquant accède à une clé privée compromise via, selon AMLBot.

Avec cela, l’attaquant peut ajouter sa clé et verrouiller l’utilisateur d’origine.

Cela est particulièrement risqué car les utilisateurs ne sont pas avertis lorsqu’une clé est ajoutée, et les chercheurs affirment que la seule façon pour un utilisateur de se rendre compte que son portefeuille a été compromis est lorsqu’il essaie de transférer des fonds.

Il existe également des recours limités après le compromis, car la clé privée de l’attaquant est nécessaire pour autoriser toute transaction future.

Sans accès à cette clé, les victimes ne peuvent pas reprendre le contrôle de leurs portefeuilles ni récupérer les fonds bloqués.

En conséquence, la seule action immédiate que les utilisateurs peuvent prendre est d’arrêter de déposer des fonds dans le portefeuille compromis pour éviter de nouvelles pertes.

AMLBot a estimé qu’environ 14 545 utilisateurs étaient exposés à ce risque en raison de cette vulnérabilité.

Les escrocs continuent de voler des milliards

Copy link to section

Les pertes dues aux piratages et aux escroqueries ont entraîné des pertes de plus de 2,3 milliards de dollars dans le secteur de la cryptographie en 2024, selon un rapport de la société de sécurité blockchain CertiK.

Les clés privées compromises ont été l’une des principales causes des pertes de l’année, et ces attaques ont augmenté de 75 % par rapport à 2023.

Les escrocs sont connus pour utiliser des logiciels malveillants et des tactiques de phishing compliquées pour accéder aux clés des utilisateurs.

Les experts conseillent de stocker en toute sécurité les clés privées et d’éviter de partager des informations sensibles en ligne pour atténuer les pertes.

Ils recommandent également de vérifier régulièrement les autorisations des comptes comme mesure de sécurité supplémentaire.

Cet article a été traduit de l'anglais à l'aide d'outils d'intelligence artificielle, puis relu et corrigé par un traducteur local.

Advertisement