Малоизвестная уязвимость подвергла риску около 14 545 криптовалютных кошельков Tron, угрожая миллионам долларов в цифровых активах.
Только в четвертом квартале 2024 года 2130 кошельков были скомпрометированы через уязвимость, связанную с транзакцией UpdateAttackPermissions, сообщила компания по безопасности AMLBot в своем отчете. В совокупности эти счета содержат около $31,5 миллиона долларов в цифровых активах на момент публикации.
Что делает эту атаку особенно коварной, так это ее скрытность. В отличие от типичных взломов, которые немедленно выводят средства, этот эксплойт позволяет злоумышленникам захватить контроль над кошельками, оставаясь незамеченными. Они блокируют исходящие транзакции, фактически блокируя законного владельца от доступа к своим средствам.
Жертвы могут неосознанно продолжать вносить средства на взломанные кошельки, обогащая хакеров, при этом оставаясь в неведении о взломе.
«Обычно жертва не понимает, что кошелек взломан», — Михаил Тютин, технический директор AMLBot.
UpdateAccountPermission открывает бэкдор
Транзакция UpdateAccountPermission на Tron предназначена для повышения безопасности аккаунта с помощью многоподписных функций. Эта функция позволяет владельцам аккаунтов назначать определенные роли ключам, определять их весовые значения и устанавливать пороговые значения, необходимые для авторизации транзакций.
Например, если порог транзакции установлен на 10, а два ключа имеют вес пять, оба должны подписать для подтверждения транзакции. Хотя эта система призвана усилить безопасность аккаунта, она становится уязвимой, когда злоумышленник получает доступ к закрытому ключу владельца.
Используя скомпрометированный ключ, злоумышленник может добавить свой собственный ключ к учетной записи и настроить его для достижения порога транзакции в сочетании с оригинальным ключом. Это фактически блокирует законных владельцев, поскольку они больше не могут завершать транзакции самостоятельно, но могут продолжать вносить средства в скомпрометированный кошелек. Как сказал Тютин:
«У кошельков нет никаких уведомлений или информации о том, что кто-то добавил еще один ключ к вашему кошельку. Нет абсолютно никаких признаков того, что ваш кошелек исчез, пока вы сами не отправите исходящую транзакцию».
Даже после обнаружения взлома у жертв остается ограниченный выбор. Единственный немедленный курс действий — прекратить вносить средства на взломанный кошелек.
«Эта атака вызывает особую обеспокоенность, поскольку нет возможности вернуть средства пользователю, поскольку для любых дальнейших транзакций требуется закрытый ключ злоумышленника», — Саттвик Кансал, соучредитель Rome Protocol.
Преимущества UpdateAccountPermission
Функция UpdateAccountPermission в Tron не является изначально вредоносной. Ее конструкция служит законным целям, таким как предоставление компаниям возможности осуществлять совместный контроль над средствами. Это снижает риск несанкционированных транзакций, требуя одобрения действий несколькими сторонами.
Эта функция также ценна для децентрализованного управления, особенно в счетах, контролируемых сообществом, которые управляются децентрализованными автономными организациями. Требуя одобрения с несколькими подписями, эта функция помогает предотвратить односторонний контроль над фондами сообщества.
Даже отдельные пользователи могут воспользоваться UpdateAccountPermission, назначив несколько ключей своим собственным аккаунтам. Это снижает вероятность потери доступа к средствам с одного скомпрометированного устройства или ключа.
Эксплойты свойственны не только Tron
Неправомерное использование функционала блокчейна свойственно не только Tron. В Ethereum злоумышленники часто используют широко используемые функции, такие как «approve» и «permit», которые необходимы для взаимодействия с децентрализованными финансовыми платформами.
В сочетании с фишинговыми тактиками эти функции могут привести к разрушительным потерям для ничего не подозревающих пользователей. Компания по безопасности Scam Sniffer сообщила, что фишинговые мошенничества в блокчейнах (за исключением Tron) привели к потерям в размере $9,38 миллионов в ноябре 2024 года.
Из них почти $7 млн поступило только из Ethereum. Это значительно меньше, чем $20 млн, о которых сообщил Scam Sniffer в октябре.
Читайте также:
