超過14,500個Tron地址面臨靜默劫持風險
根據AMLBot的報告,2024年第四季度懷疑受污染的錢包仍持有3150萬美元。
一項不太為人所知的漏洞使得約14,545個Tron加密錢包面臨風險,數百萬美元的數字資產可能遭到盜竊。
根據安全公司AMLBot的報告,在2024年第四季度,已有2,130個錢包因與UpdateAttackPermissions交易相關的漏洞而受到攻擊。截至報導發佈時,這些帳戶合共持有近3150萬美元的數字資產。
這次攻擊特別隱秘,與典型的立即耗盡資金的黑客行為不同,這種漏洞使得攻擊者可以在不被發現的情況下控制錢包。他們會阻止合法的出款交易,有效地鎖定了真正的擁有者,使其無法訪問自己的資金。
受害者可能在不知情的情況下繼續向被劫持的錢包存入資金,這樣反而使黑客受益。
“通常,受害者並不知道錢包已經被盜走,”AMLBot的首席技術官Mykhailo Tiutin告訴Cointelegraph。
Cointelegraph與一名這種攻擊的受害者進行了交談,該受害者因擔心被黑客針對而要求匿名。他在意識到問題之前,已經向他的錢包中添加了1,000 USDT。
“如果小偷立即把我所有的錢拿走,我會立刻明白我失去了錢包,我也不會再往裡面添加更多資金,”他表示。
UpdateAccountPermission開啟後門
Tron的UpdateAccountPermission交易旨在通過類似多簽的功能增強帳戶安全。這一功能允許帳戶擁有者為密鑰分配特定角色、定義權重值,並設置交易授權所需的閾值。
例如,如果交易閾值設置為10,而兩個密鑰各自的權重為5,則必須兩個密鑰都簽署才能驗證交易。雖然此系統旨在加強帳戶安全,但當攻擊者獲得擁有者的私鑰時,它便成為了一個漏洞。
通過利用被劫持的密鑰,攻擊者可以將自己的密鑰添加到帳戶中,並配置以滿足交易閾值,這樣一來,合法擁有者就無法獨立完成交易,但仍然可能繼續向被劫持的錢包存入資金。Tiutin表示:
“錢包不會有任何通知或信息告訴你,有人已經向你的錢包添加了另一個密鑰。直到你自己發送出款交易之前,完全沒有跡象表明你的錢包已經被盜。”
即使發現了漏洞,受害者也面臨有限的選擇。唯一的即時行動是停止向被劫持的錢包存入資金。
“這種攻擊尤其令人擔憂,因為用戶無法恢復資金,因為進行任何後續交易都需要攻擊者的私鑰,”Rome Protocol的聯合創始人Sattvik Kansal告訴Cointelegraph。
Tron未對Cointelegraph的置評請求作出回應。
UpdateAccountPermission的好處
Tron的UpdateAccountPermission功能本身並不是惡意的。其設計旨在服務於合法目的,例如使企業能夠對資金進行共享控制。這減少了未經授權交易的風險,因為需要多方批准行動。
這一功能對去中心化治理也非常有價值,特別是在由去中心化自治組織管理的社區控制帳戶中。通過要求多簽名批准,該功能有助於防止對社區資金的單方面控制。
即使是個人用戶也可以通過將多個密鑰分配給自己的帳戶來受益於UpdateAccountPermission。這降低了因單一設備或密鑰被劫持而失去資金的可能性。
利用並非Tron所獨有
區塊鏈功能的濫用並不僅限於Tron。在以太坊上,惡意行為者經常利用“approve”和“permit”等廣泛使用的功能,這些功能對於與去中心化金融平台的互動至關重要。
當與網絡釣魚策略結合時,這些功能可能導致無辜用戶遭受毀滅性損失。安全公司Scam Sniffer報告稱,2024年11月,跨區塊鏈的釣魚詐騙(不包括Tron)導致的損失達938萬美元。
其中,幾乎700萬美元來自以太坊。這比Scam Sniffer在10月報告的2000萬美元要少得多。
2024年,幾乎有5億美元因釣魚計劃而損失。來源:Scam Sniffer
這一下降可能歸因於錢包安全性的提升,許多基於以太坊的錢包現在在用戶簽署之前會通知他們有可疑交易。此外,用戶教育的增加也有助於減少釣魚計劃的威力。
如何防止靜默錢包劫持者
利用UpdateAccountPermission功能的關鍵前提是私鑰的洩露。沒有這一點,攻擊者無法獲得操縱帳戶權限所需的訪問權限。一旦私鑰洩露,帳戶已經被劫持,但這種特定的攻擊向量允許黑客從受害者那裡進一步抽取資金。
Dowsers的首席安全研究員Axel Leloup強調了理解Tron的權限系統和定期檢查帳戶權限的重要性。
他還重申了加密安全的基本原則:
“確保私鑰和助記詞安全存儲,最好是離線存儲,並且永遠不要與不受信任的第三方分享。”
對於這位匿名受害者而言,他的錢包漏洞源於操作安全不當。該錢包用於測試智能合約,因此其私鑰嵌入在明文源代碼中,並在多個設備之間遷移。
另一個潛在的保護措施是最小化存儲在錢包中的Tronix數量,特別是對於處理USDT交易的用戶。UpdateAccountPermission功能需要100 TRX的費用,這使得攻擊者難以利用有限TRX儲備的帳戶。Tiutin建議使用允許USDT交易而不燒毀TRX的錢包。
在當前的加密市場中,這種靜默劫持的風險提醒我們,無論是個人用戶還是企業,對於數字資產的安全性都必須保持高度警惕。隨著技術的演進,黑客的手法也在不斷升級,這要求我們不僅要了解技術本身,還要提高安全意識,定期檢查和更新我們的安全措施。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
