Több mint 14 ezer Tron tárca van folyamatosan veszélyben
Egy nem igazán ismert sebezhetőség miatt a becslések szerint 14545 Tron kriptotárca került eddig veszélybe, ami több millió dollárnyi vagyon elvesztését jelentheti. Csak 2024 negyedik negyedévében 2130 tárca került veszélybe az UpdateAttackPermissions tranzakcióhoz kapcsolódó sebezhetőségen keresztül. Legalábbis ezt közölte az AMLBot biztonsági cég egy elemzésben. Ezekben a tárcákban együttesen közel 31,5 millió dollárnyi digitalis pénzeszköz volt. Ami ezt a támadást különösen alattomossá teszi, az a lopakodó jellege. A tipikus hackertámadásokkal, lopásokkal ellentétben, amelyek során azonnal ellopják a pénzeszközöket, ez a sebezhetőség lehetővé teszi a támadók számára, hogy észrevétlenül vegyék át az irányítást a tárcák felett.
Blokkolják a valós kimenő tranzakciókat, és ezzel gyakorlatilag elzárják a jogos tulajdonosokat attól, hogy hozzáférjenek a pénzeszközeikhez. Az áldozatok pedig közben tudatlanul még mindig fizethetnek be pénzt a veszélyeztetett tárcákba. Tehát konkrétan valaki még tovább gazdagítja a hackereket, pedig már korábbi tőkéjét is elveszítette.
Mi is pontosan ez az alig ismert Tron sebezhetőség?
A DeFi-ben szárnyaló Tron UpdateAccountPermission tranzakciójának célja a fiókbiztonság növelése a többaláírásos funkciók segítségével. Ez a funkció lehetővé teszi a tárcatulajdonosok számára, hogy konkrét szerepköröket rendeljenek a kulcsokhoz, meghatározzák azok erősségét, és beállítsák a tranzakciók engedélyezéséhez szükséges küszöbértékeket. Ha például a tranzakciós küszöbértéket 10-re állítják be, és két kulcs egyenként ötös súlyú, akkor a tranzakció érvényesítéséhez mindkettő kulcsnak meg kell erősítenie. Bár ez a rendszer a fiókbiztonságot hivatott erősíteni, sebezhetővé válik, ha egy támadó hozzáfér a tulajdonos privát kulcsához.
Mert a kompromittált kulcsot kihasználva a támadó hozzáadhatja saját kulcsát a számlához, és úgy konfigurálhatja, hogy az eredeti kulccsal kombinálva elérje a tranzakciós küszöbértéket. Ezzel gyakorlatilag kizárja a jogos tulajdonosokat, mivel ők már nem tudnak önállóan tranzakciókat véglegesíteni, de továbbra is befizethetnek pénzt a kompromittált tárcába.
A legfontosabb teendő, ha valaki kiszúrja a történeteket, hogy nem fizet be többet a tárcájába. Maga az UpdateAccountPermission funkció nem eleve rosszindulatú. Kialakítása jóindulatú célokat szolgál, például lehetővé teszi cégek számára, hogy a pénzeszközök feletti megosztott ellenőrzést érvényesítsék. Ez csökkenti a jogosulatlan tranzakciók kockázatát azáltal, hogy több félnek kell jóváhagynia a műveleteket.
Ez a funkció a decentralizált kormányzás szempontjából is értékes, különösen a decentralizált autonóm szervezetek által kezelt, közösség által ellenőrzött számlák esetében. Azáltal, hogy a funkció több aláírással történő jóváhagyást követel meg, segít megakadályozni a közösségi pénzeszközök feletti egyoldalú ellenőrzést. Az UpdateAccountPermission funkcióból még az egyes felhasználók is profitálhatnak, ha több kulcsot rendelnek saját számláikhoz. Ez csökkenti annak valószínűségét, hogy egyetlen kompromittált eszköz vagy kulcs miatt elveszik a pénzeszközökhöz való hozzáférés.
A blokkláncok funkciói jelenthetnek némi védelmet
Azért tegyük hozzá a Tron védelmében, hogy ezek a fajta hibák nem csak erre a hálózatra jellemzők. Az Ethereumon a rosszindulatú szereplők gyakran kihasználják az olyan széles körben használt funkciókat, mint a „jóváhagyás” és az „engedélyezés”, amelyek elengedhetetlenek a decentralizált pénzügyi platformokkal való interakcióhoz. Adathalász taktikákkal kombinálva ezek a funkciók pusztító veszteségekhez vezethetnek a gyanútlan felhasználók számára. A Scam Sniffer biztonsági cég jelentése szerint a blokkláncokon végrehajtott adathalász csalások 9,38 millió dolláros veszteséget okoztak csak 2024 novemberében. Ebből csak az Ethereumon közel 7 millió dollár veszteség történt. Ez lényegesen alacsonyabb mondjuk, mint a Scam Sniffer által októberre jelentett 20 millió dolláros összeg.
A csökkenéshez és egyáltalán a fentebb vázolt visszaélés elleni védekezésben a blokklánc funkciók tudnak segíteni. Például ma már számos Ethereum-alapú tárca már az aláírás előtt értesíti a felhasználókat a gyanús tranzakciókról. Emellett a felhasználókat is folyamatosan próbálják oktatni a projektek. Viszont tegyük hozzá, hogy az UpdateAccountPermission funkció kihasználásának kritikus előfeltétele a privát kulcs megszerzése. Enélkül a támadók nem tudnak hozzáférni a fiókjogosultságok manipulálásához szükséges hozzáféréshez. Szóval a privát kulcs megőrzése létfontosságú. Egy példa esetben a tárca sebezhetősége a gyenge működési biztonságból eredt. A tárcát okosszerződések tesztelésére használták, így a privát kulcsa egyszerű forráskódba volt beágyazva, amely több eszközön keresztül vándorolt. Egy másik lehetséges védintézkedés a tárcákban tárolt Tronix mennyiségének minimalizálása, különösen az USDT tranzakciókkal foglalkozó felhasználók esetében. Az UpdateAccountPermission funkció 100 TRX díjat igényel, ami megnehezíti a támadók számára a korlátozott TRX-tartalékkal rendelkező számlák kihasználását.