
Eksperci ostrzegają, że luka w zabezpieczeniach portfela Tron umożliwia atakującym przejęcie kontroli
- Atakujący wykorzystują funkcję UpdateAccountPermission do atakowania portfeli Tron.
- Ta luka umożliwia złośliwym osobom przejęcie kontroli w sposób niewykrywalny.
- Eksperci ostrzegają, że ryzyku może być narażonych tysiące użytkowników.
Śledź Invezz na Telegramie, Twitterze i Wiadomości Google, aby otrzymywać najnowsze informacje >
Naukowcy z firmy zajmującej się bezpieczeństwem AMLBot ostrzegli przed luką w portfele do kryptowalut Tron, która może umożliwić złym osobom opróżnienie kryptoaktywów milionów użytkowników.
W niedawnym raporcie firma zajmująca się bezpieczeństwem ostrzegła użytkowników portfel kryptowalut Tron przed atakami wykorzystującymi lukę w funkcji UpdateAccountPermission, która umożliwia przejęcie kontroli nad portfel do kryptowalut bez wiedzy właściciela.
Następnie atakujący mogą dodać swój klucz do portfela, skonfigurować go tak, aby spełniał kryteria transakcji i blokować prawidłowe transakcje wychodzące.
Ofiary nie mają dostępu do swoich portfeli i nieświadomie mogą nadal wpłacać środki, wzbogacając tym samym napastników.
Według AMLBot, te luki w zabezpieczeniach doprowadziły do ataków na około 2130 portfeli w samym czwartym kwartale 2024 roku.
Czym jest funkcja UpdateAccountPermission?
Copy link to sectionW przypadku portfeli Tron funkcja UpdateAccountPermission jest funkcją bezpieczeństwa zaprojektowaną w celu zwiększenia kontroli nad kontem poprzez umożliwienie użytkownikom przypisywania kluczyom określonych ról, definiowania wartości wag dla każdego klucza oraz ustawiania progów transakcji.
Służy to takim przypadkom użycia, jak zarządzanie wspólnym portfelem, w którym wiele stron może nadzorować i zatwierdzać transakcje, oraz zdecentralizowanemu zarządzaniu, umożliwiając kontrolowanym przez społeczność kontom wymaganie zatwierdzeń wielosygnowanych podczas dostępu do środków.
Korzystanie z tej funkcji przynosi również korzyści użytkownikom, ponieważ pozwala im przypisać do swoich portfeli wiele kluczy, co zmniejsza ryzyko utraty dostępu z powodu kompromitacji jednego klucza.
Jednakże, jeśli ta funkcja zostanie wykorzystana w niewłaściwy sposób, atakujący mogą wykorzystać ją do przejęcia kontroli nad portfelami.
Zazwyczaj dzieje się tak, gdy napastnik uzyskuje dostęp do skompromitowanego klucza prywatnego, zgodnie z informacjami AMLBot.
Dzięki temu napastnik może dodać swój klucz i zablokować oryginalnego użytkownika.
Jest to szczególnie niebezpieczne, ponieważ użytkownicy nie są powiadamiani o dodaniu klucza, a naukowcy twierdzą, że jedynym sposobem, w jaki użytkownik może się zorientować, że jego portfel został naruszony, jest próba przesłania środków.
Po zawarciu kompromisu możliwości odzyskania danych są ograniczone, ponieważ do autoryzacji przyszłych transakcji wymagany jest prywatny klucz atakującego.
Bez dostępu do tego klucza ofiary nie będą mogły odzyskać kontroli nad swoimi portfelami ani odblokować zablokowanych środków.
W rezultacie jedyną natychmiastową akcją, jaką mogą podjąć użytkownicy, jest zaprzestanie wpłacania środków na zagrożony portfel, aby zapobiec dalszym stratom.
AMLBot oszacował, że z powodu tej luki w zabezpieczeniach narażonych było około 14 545 użytkowników.
Oszuści nadal kradną miliardy
Copy link to sectionWedług raportu firmy zajmującej się bezpieczeństwem blockchain CertiK, straty spowodowane hakowaniem i oszustwami w sektorze kryptowalut w 2024 r. wyniosły ponad 2,3 miliarda dolarów.
Utrata kluczy prywatnych była jedną z głównych przyczyn strat w tym roku, a liczba takich ataków wzrosła o 75% w porównaniu z 2023 r.
Oszuści są znani z wykorzystywania złośliwego oprogramowania i skomplikowanych taktyk phishingu w celu uzyskania dostępu do kluczy użytkowników.
Eksperci zalecają bezpieczne przechowywanie kluczy prywatnych i unikanie udostępniania poufnych informacji online, aby ograniczyć straty.
Zalecają również regularne sprawdzanie uprawnień do konta jako dodatkową miarę bezpieczeństwa.
Ten artykuł został przetłumaczony z języka angielskiego przy pomocy narzędzi AI, a następnie zweryfikowany i zredagowany przez lokalnego tłumacza.
Advertisement
Chcesz otrzymywać łatwe do naśladowania sygnały dotyczące handlu kryptowalutami, forex i akcjami? Ułatw swój handel, wzorując się na naszym zespole profesjonalnych traderów. Stabilne wyniki. Zarejestruj się już dziś na Invezz Signals™.
More industry news





