Tron-lommebokens sårbarhet lar angripere ta kontroll, advarer eksperter

Forskere ved sikkerhetsfirmaet AMLBot har advart om en sårbarhet i Tron krypto lommebøker som kan tillate dårlige aktører å tappe kryptoaktiva til millioner av brukere.

I en fersk rapport varslet sikkerhetsfirmaet Tron krypto lommebok om at angripere utnyttet en sårbarhet som stammer fra UpdateAccountPermission -funksjonen, som lar dem overføre kontroller av en krypto lommebok uten eierens viten.

Angripere kan deretter legge til nøkkelen sin i lommeboken, konfigurere den til å møte transaksjonsterskler og blokkere legitime utgående transaksjoner.

Ofre er også utestengt fra lommeboken og kan ubevisst fortsette å sette inn penger, noe som beriker angriperne.

I følge AMLBot har disse sårbarhetene ført til angrep på omtrent 2130 lommebøker bare i fjerde kvartal 2024.

Hva er UpdateAccountPermission-funksjonen?

For Tron-lommebøker er UpdateAccountPermission-funksjonen en sikkerhetsfunksjon designet for å forbedre kontokontrollen ved å gjøre det mulig for brukere å tildele spesifikke roller til nøkler, definere vektverdier for hver nøkkel og angi transaksjonsterskler.

Dette tjener brukstilfeller som delt lommebokadministrasjon, der flere parter kan overvåke og godkjenne transaksjoner, og desentralisert styring, slik at fellesskapskontrollerte kontoer kan kreve multisignaturgodkjenninger når de får tilgang til midler.

Det gagner også brukerne ved å tillate dem å tildele flere nøkler til lommeboken, og reduserer dermed risikoen for å miste tilgang på grunn av en enkelt kompromittert nøkkel.

Men når den utnyttes, kan denne funksjonen misbrukes av angripere for å få kontroll over lommebøker.

Dette skjer vanligvis når en angriper får tilgang til en kompromittert privat nøkkel via, ifølge AMLBot.

Med dette kan angriperen legge til nøkkelen sin og låse den opprinnelige brukeren ute.

Dette er spesielt risikabelt fordi brukere ikke blir varslet når en nøkkel legges til, og forskere hevder at den eneste måten en bruker innser at lommeboken har blitt kompromittert på er når de prøver å overføre penger.

Det er også begrenset bruk etter kompromisset, ettersom angriperens private nøkkel er nødvendig for å autorisere eventuelle fremtidige transaksjoner.

Uten tilgang til denne nøkkelen kan ofre ikke gjenvinne kontrollen over lommeboken eller få tilbake de låste midlene.

Som et resultat er den eneste umiddelbare handlingen brukere kan gjøre å slutte å sette inn penger i den kompromitterte lommeboken for å forhindre ytterligere tap.

AMLBot estimerte at omtrent 14 545 brukere var i faresonen på grunn av dette sikkerhetsproblemet.

Svindlere fortsetter å stjele milliarder

Tap fra hacks og svindel førte til over 2,3 milliarder dollar i tap på tvers av kryptosektoren i 2024, ifølge en rapport fra blokkjedesikkerhetsfirmaet CertiK.

Bestående private nøkler var en av de viktigste årsakene til årets tap, og slike angrep økte med 75 % sammenlignet med 2023.

Svindlere er kjent for å bruke skadelig programvare og kompliserte phishing-taktikker for å få tilgang til brukernes nøkler.

Eksperter anbefaler å lagre private nøkler på en sikker måte og unngå å dele sensitiv informasjon på nettet for å redusere tap.

De anbefaler også regelmessig å sjekke kontotillatelser som et ekstra sikkerhetstiltak.