
Kerentanan dompet Tron membolehkan penyerang mengawal, pakar memberi amaran
- Penyerang menggunakan fungsi UpdateAccountPermission untuk menyasarkan dompet Tron.
- Kerentanan itu membolehkan pelakon jahat mengambil alih kawalan secara senyap-senyap.
- Pakar memberi amaran bahawa beribu-ribu pengguna mungkin berisiko.
Ikuti Invezz di Telegram, Twitter dan Berita Google untuk kemas kini segera >
Penyelidik di firma keselamatan AMLBot telah memberi amaran tentang kerentanan dalam dompet kripto Tron yang boleh membenarkan pelakon jahat menguras aset kripto berjuta-juta pengguna.
Dalam laporan baru-baru ini, firma keselamatan memaklumkan pengguna dompet crypto Tron bahawa penyerang mengeksploitasi kelemahan yang berpunca daripada fungsi UpdateAccountPermission, yang membolehkan mereka memindahkan kawalan dompet crypto tanpa pengetahuan pemilik.
Penyerang kemudiannya boleh menambah kunci mereka pada dompet, mengkonfigurasinya untuk memenuhi ambang transaksi dan menyekat transaksi keluar yang sah.
Mangsa juga terkunci daripada dompet mereka dan tanpa sedar boleh terus mendepositkan dana, memperkayakan penyerang.
Menurut AMLBot, kelemahan ini telah menyebabkan serangan ke atas kira-kira 2,130 dompet hanya dalam suku keempat 2024.
Apakah fungsi UpdateAccountPermission?
Copy link to sectionUntuk dompet Tron, fungsi UpdateAccountPermission ialah ciri keselamatan yang direka untuk meningkatkan kawalan akaun dengan membolehkan pengguna menetapkan peranan khusus kepada kunci, menentukan nilai berat untuk setiap kunci dan menetapkan ambang transaksi.
Ini menyediakan kes penggunaan seperti pengurusan dompet kongsi, di mana berbilang pihak boleh mengawasi dan meluluskan urus niaga, dan tadbir urus terpencar, membolehkan akaun dikawal komuniti memerlukan kelulusan berbilang tandatangan apabila mengakses dana.
Ia juga memberi manfaat kepada pengguna dengan membenarkan mereka memberikan berbilang kunci pada dompet mereka, dengan itu mengurangkan risiko kehilangan akses disebabkan oleh satu kunci yang terjejas.
Walau bagaimanapun, apabila dieksploitasi, ciri ini boleh disalahgunakan oleh penyerang untuk mendapatkan kawalan ke atas dompet.
Ini biasanya berlaku apabila penyerang mendapat akses kepada kunci persendirian yang terjejas melalui, menurut AMLBot.
Dengan ini, penyerang boleh menambah kunci mereka dan mengunci pengguna asal.
Ini amat berisiko kerana pengguna tidak dimaklumkan apabila kunci ditambahkan, dan penyelidik mendakwa bahawa satu-satunya cara pengguna menyedari dompet mereka telah terjejas ialah apabila mereka cuba memindahkan dana.
Terdapat juga jalan yang terhad selepas kompromi, kerana kunci peribadi penyerang diperlukan untuk membenarkan sebarang urus niaga masa hadapan.
Tanpa akses kepada kunci ini, mangsa tidak boleh mendapatkan semula kawalan ke atas dompet mereka atau mendapatkan semula dana yang terkunci.
Akibatnya, satu-satunya tindakan segera yang boleh diambil pengguna ialah berhenti mendepositkan dana ke dalam dompet yang terjejas untuk mengelakkan kerugian selanjutnya.
AMLBot menganggarkan bahawa kira-kira 14,545 pengguna berisiko disebabkan kerentanan ini.
Penipu terus mencuri berbilion-bilion
Copy link to sectionKerugian daripada penggodaman dan penipuan membawa kepada kerugian lebih $2.3 bilion di seluruh sektor kripto pada 2024, menurut laporan daripada firma keselamatan blockchain CertiK.
Kunci persendirian yang terdiri daripada salah satu punca utama di sebalik kerugian tahun itu, dan serangan sedemikian melonjak 75% berbanding 2023.
Penipu diketahui menggunakan perisian hasad dan taktik pancingan data yang rumit untuk mendapatkan akses kepada kunci pengguna.
Pakar menasihatkan supaya menyimpan kunci peribadi dengan selamat dan mengelakkan perkongsian maklumat sensitif dalam talian untuk mengurangkan kerugian.
Mereka juga mengesyorkan agar sentiasa menyemak kebenaran akaun sebagai langkah keselamatan tambahan.
Artikel ini telah diterjemahkan daripada bahasa Inggeris dengan bantuan alatan AI, dan kemudian baca pruf dan diedit oleh penterjemah tempatan.
Advertisement
Mahukan isyarat dagangan kripto, forex dan saham yang mudah diikuti? Jadikan perdagangan anda lebih mudah dengan meniru pasukan pedagang pro kami. Hasil yang konsisten. Daftar hari ini di Invezz Signalsâ„¢.
More industry news





