" Малоизвестный эксплойт поставил под угрозу примерно 14 545 крипто-кошельков Tron, подвергнув потенциальной краже цифровые активы на миллионы долларов.
«Только в 4 квартале 2024 года 2130 кошельков были взломаны из-за уязвимости, связанной с транзакцией UpdateAttackPermissions, - говорится в отчете охранной фирмы AMLBot. - На момент публикации на этих счетах в совокупности находилось почти на 31,5 миллиона долларов цифровых активов».
Что делает эту атаку особенно коварной, так это ее скрытый характер. В отличие от обычных взломов, которые немедленно выводят средства, этот эксплойт позволяет злоумышленникам захватить контроль над кошельками, оставаясь незамеченными. Они блокируют законные исходящие транзакции, фактически лишая законного владельца доступа к своим средствам.
Жертвы могут неосознанно продолжать переводить средства на скомпрометированные кошельки, обогащая хакеров и не обращая внимания на взлом.
«Как правило, жертва не понимает, что кошелек пропал», - говорит Михаил Тютин, технический директор AMLBot.
Было проведено интервью с одной жертвой этой атаки, которая пожелала остаться анонимной из-за страха стать мишенью хакеров. Этот пострадавший добавил еще 1000 долларов США в свой кошелек, прежде чем осознал это.
«Если бы вор немедленно забрал все мои деньги, я бы сразу понял, что потерял свой кошелек, и не стал бы пополнять его», - объяснил он.
UpdateAccountPermission открывает черный ход
Транзакция UpdateAccountPermission в Tron предназначена для повышения безопасности учетной записи с помощью функций, подобных мультисигнализации. Эта функция позволяет владельцам учетных записей назначать определенные роли ключам, определять их весовые значения и устанавливать пороговые значения, которые необходимы для авторизации транзакций.
Например, если порог транзакции установлен равным 10, а вес каждого из двух ключей равен 5, для подтверждения транзакции необходимо подписать оба ключа. Хотя эта система предназначена для повышения безопасности учетной записи, она становится уязвимой, когда злоумышленник получает доступ к закрытому ключу владельца.
Используя скомпрометированный ключ, злоумышленник может добавить свой собственный ключ к учетной записи и настроить его таким образом, чтобы он соответствовал пороговому значению транзакции в сочетании с исходным ключом. Это фактически блокирует законных владельцев, поскольку они больше не могут самостоятельно завершать транзакции, но при этом могут продолжать вносить средства на скомпрометированный кошелек. Как сказал Тютин:
«В кошельках нет никаких уведомлений или информации о том, что кто-то добавил другой ключ к вашему кошельку. Нет абсолютно никаких признаков того, что ваш кошелек пропал, пока вы сами не отправите исходящую транзакцию».
Даже после обнаружения взлома у жертв остаются ограниченные возможности. Единственный немедленный способ действий - прекратить перевод средств на скомпрометированный кошелек.
«Эта атака вызывает особое беспокойство, поскольку нет возможности вернуть средства пользователю, так как для любых дальнейших транзакций требуется закрытый ключ злоумышленника», - сказал Саттвик Кансал, соучредитель Rome Protocol.
Tron не ответил на запрос о комментариях.
Рисунок 1. Владельцы кошельков получают сообщение об ошибке при попытке отправить средства с украденного кошелька. Источник: Tiutin/TronLink.
Преимущества UpdateAccountPermission
Функция UpdateAccountPermission в Tron по своей сути не является вредоносной. Ее дизайн служит законным целям, таким как предоставление компаниям возможности осуществлять общий контроль над денежными средствами. Это снижает риск несанкционированных транзакций, поскольку требует одобрения действий несколькими сторонами.
Эта функция также полезна для децентрализованного управления, особенно для счетов, контролируемых сообществом, управляемых децентрализованными автономными организациями. Требуя одобрения с несколькими подписями, эта функция помогает предотвратить односторонний контроль над средствами сообщества.
Даже отдельные пользователи могут воспользоваться преимуществами UpdateAccountPermission, назначив несколько ключей своим учетным записям. Это снижает вероятность потери доступа к средствам с одного скомпрометированного устройства или ключа.
Эксплойт не уникален
Злоупотребление функциональными возможностями блокчейна характерно не только для Tron. В Ethereum злоумышленники часто пользуются широко используемыми функциями, такими как «одобрить» и «разрешить», которые необходимы для взаимодействия с децентрализованными финансовыми платформами.
В сочетании с фишинговой тактикой эти функции могут привести к огромным потерям для ничего не подозревающих пользователей. Охранная компания Scam Sniffer сообщила, что фишинговые атаки на блокчейны (за исключением Tron) привели к убыткам в размере 9,38 миллиона долларов в ноябре 2024 года.
Из них почти 7 миллионов долларов поступило только от Ethereum. Это значительно меньше, чем в октябре, когда сообщалось о мошенничестве на 20 миллионов долларов.
Рисунок 2. В 2024 году из-за фишинговых схем было потеряно почти 500 миллионов долларов. Источник: Scam Sniffer.
Снижение может быть связано с улучшениями в области безопасности кошельков: несколько кошельков на Ethereum Base теперь уведомляют пользователей о подозрительных транзакциях перед их подписанием. Кроме того, повышение уровня информированности пользователей помогло снизить эффективность фишинговых схем.
Как предотвратить несанкционированный взлом кошелька
Важным предварительным условием для использования функции UpdateAccountPermission является утечка закрытого ключа. Без этого злоумышленники не смогут получить доступ, необходимый для манипулирования правами доступа к учетной записи. Как только происходит утечка секретного ключа, учетная запись уже скомпрометирована, но этот конкретный вектор атаки позволяет хакерам получить еще больше средств от жертв.
Аксель Лелуп, ведущий исследователь по безопасности в Dowsers, подчеркнул важность понимания системы разрешений Tron и проведения регулярных проверок разрешений для учетной записи.
Лелуп также повторил основополагающий принцип криптовалютной безопасности:
«Убедитесь, что приватные ключи и мнемонические фразы надежно хранятся, предпочтительно в автономном режиме, и никогда не передаются ненадежным сторонам».
В случае с анонимной жертвой уязвимость его кошелька была вызвана плохой операционной безопасностью. Кошелек использовался для тестирования смарт-контрактов, поэтому его закрытый ключ был встроен в простой исходный код, который был перенесен на несколько устройств.
Другой потенциальной мерой предосторожности является минимизация количества TRX, которые хранятся в кошельках, особенно для пользователей, осуществляющих транзакции в долларах США.
Функция UpdateAccountPermission требует комиссии в размере 100 TRX, что затрудняет злоумышленникам использование учетных записей с ограниченными резервами TRX. Михаил Тютин рекомендует использовать кошельки, которые позволяют осуществлять транзакции в долларах США без использования TRX.
