Tron-plånbokens sårbarhet tillåter angripare att ta kontroll, varnar experter

Forskare vid säkerhetsföretaget AMLBot har varnat för en sårbarhet inom Tron kryptoplånböcker som kan tillåta dåliga aktörer att dränera kryptotillgångarna för miljontals användare.

I en nyligen publicerad rapport uppmärksammade säkerhetsföretaget Tron kryptoplånbok om att angripare utnyttjade en sårbarhet som härrörde från funktionen UpdateAccountPermission, som tillåter dem att överföra kontroller av en kryptoplånbok utan ägarens vetskap.

Angripare kan sedan lägga till sin nyckel i plånboken, konfigurera den för att möta transaktionströsklar och blockera legitima utgående transaktioner.

Offren är också utelåsta från sina plånböcker och kan omedvetet fortsätta att sätta in pengar, vilket berikar angriparna.

Enligt AMLBot har dessa sårbarheter lett till attacker på ungefär 2 130 plånböcker bara under det fjärde kvartalet 2024.

Vad är funktionen UpdateAccountPermission?

För Tron-plånböcker är UpdateAccountPermission-funktionen en säkerhetsfunktion utformad för att förbättra kontokontrollen genom att göra det möjligt för användare att tilldela specifika roller till nycklar, definiera viktvärden för varje nyckel och ställa in transaktionströsklar.

Detta tjänar användningsfall som delad plånbokshantering, där flera parter kan övervaka och godkänna transaktioner, och decentraliserad styrning, vilket gör att gemenskapskontrollerade konton kan kräva godkännanden av flera signaturer när de får tillgång till pengar.

Det gynnar också användarna genom att de kan tilldela flera nycklar till sina plånböcker, vilket minskar risken för att förlora åtkomst på grund av en enda komprometterad nyckel.

Men när den utnyttjas kan den här funktionen missbrukas av angripare för att få kontroll över plånböcker.

Detta händer vanligtvis när en angripare får tillgång till en komprometterad privat nyckel via, enligt AMLBot.

Med detta kan angriparen lägga till sin nyckel och låsa ut den ursprungliga användaren.

Detta är särskilt riskabelt eftersom användare inte meddelas när en nyckel läggs till, och forskare hävdar att det enda sättet som en användare inser att deras plånbok har äventyrats är när de försöker överföra pengar.

Det finns också begränsad utväg efter kompromissen, eftersom angriparens privata nyckel krävs för att godkänna framtida transaktioner.

Utan tillgång till denna nyckel kan offer inte återta kontrollen över sina plånböcker eller få tillbaka de låsta medlen.

Som ett resultat är den enda omedelbara åtgärden användare kan vidta att sluta sätta in pengar i den komprometterade plånboken för att förhindra ytterligare förluster.

AMLBot uppskattade att ungefär 14 545 användare var i riskzonen på grund av denna sårbarhet.

Bedragare fortsätter att stjäla miljarder

Förlust från hacks och bedrägerier ledde till över 2,3 miljarder dollar i förluster inom kryptosektorn 2024, enligt en rapport från blockchain-säkerhetsföretaget CertiK.

Bestående privata nycklar var en av de främsta orsakerna bakom årets förluster, och sådana attacker ökade med 75 % jämfört med 2023.

Bedragare är kända för att använda skadlig programvara och komplicerad nätfisketaktik för att få tillgång till användarnas nycklar.

Experter rekommenderar att du lagrar privata nycklar på ett säkert sätt och undviker att dela känslig information online för att minska förlusterna.

De rekommenderar också att regelbundet kontrollera kontobehörigheter som en extra säkerhetsåtgärd.