超过 14,500 个 Tron 地址面临无声劫持风险

超过 14,500 个 Tron 地址面临无声劫持风险

一项鲜为人知的漏洞已使大约 14,545 个 Tron 加密钱包面临风险，数百万美元的数字资产可能被盗。

安全公司 AMLBot 在与 Cointelegraph 分享的一份报告中表示，仅在 2024 年第四季度，就有 2,130 个钱包因与 UpdateAttackPermissions 交易相关的漏洞而受到损害。 截至发稿时，这些账户总共持有近 3150 万美元的数字资产。

这种攻击之所以特别阴险，是因为它的隐蔽性。 与立即耗尽资金的典型黑客攻击不同，此漏洞允许攻击者在不被发现的情况下夺取钱包的控制权。 它们阻止合法的出站交易，有效地阻止合法所有者访问其资金。

受害者可能会在不知不觉中继续将资金存入受感染的钱包，从而使黑客致富，同时却对违规行为浑然不觉。

AMLBot 首席技术官 Mykhailo Tiutin 告诉 Cointelegraph：“受害者通常不知道钱包不见了。”

Cointelegraph 采访了这一攻击媒介的一名受害者，由于担心成为黑客的目标，他要求匿名。 不知不觉间，他的钱包里又多了1000 USDT。

他们说：“如果小偷立即拿走我所有的钱，我就会立即明白我丢了钱包，我就不会再往里面存更多的钱了。”

相关：随着调查人员开始接近，加密货币流失者正在退休

UpdateAccountPermission 打开后门

Tron 上的 UpdateAccountPermission 交易旨在通过类似多重签名的功能来增强帐户安全性。 此功能允许帐户所有者为密钥分配特定角色、定义其权重值并设置交易授权所需的阈值。

例如，如果交易阈值设置为 10，并且两个密钥各自的权重为 5，则两个密钥都必须签名才能验证交易。 虽然该系统旨在增强帐户安全性，但当攻击者获得所有者私钥的访问权限时，它就会成为一个漏洞。

通过利用泄露的密钥，攻击者可以将自己的密钥添加到帐户中，并将其配置为与原始密钥组合时满足交易阈值。 这有效地锁定了合法所有者，因为他们无法再独立完成交易，但可能会继续将资金存入受损的钱包中。 正如蒂廷所说：

“钱包没有任何通知或信息表明有人向你的钱包添加了另一把钥匙。 在您自己发送一笔外发交易之前，绝对没有迹象表明您的钱包已经消失。”

即使发现漏洞后，受害者的选择也很有限。 唯一立即采取的行动是停止将资金存入受感染的钱包。

Rome Protocol 联合创始人 Sattvik Kansal 告诉 Cointelegraph：“这次攻击尤其令人担忧，因为任何进一步的交易都需要攻击者的私钥，因此无法为用户收回资金。”

Tron 没有回应 Cointelegraph 的置评请求。

UpdateAccountPermission 的好处

Tron 上的 UpdateAccountPermission 函数本质上并不是恶意的。 其设计服务于合法目的，例如使企业能够对资金实施共享控制。 这通过要求多方批准操作来降低未经授权交易的风险。

此功能对于去中心化治理也很有价值，特别是在由去中心化自治组织管理的社区控制账户中。 通过要求多重签名批准，该功能有助于防止对社区资金的单方面控制。

即使个人用户也可以通过将多个密钥分配给自己的帐户来从 UpdateAccountPermission 中受益。 这降低了失去从单个受感染设备或密钥获取资金的可能性。

漏洞利用并非波场独有

区块链功能的滥用并非波场独有。 在以太坊上，恶意行为者经常利用广泛使用的功能，例如“批准”和“许可”，这些功能对于与去中心化金融平台交互至关重要。

当与网络钓鱼策略结合使用时，这些功能可能会给毫无戒心的用户带来毁灭性的损失。 安全公司 Scam Sniffer 报告称，跨区块链（不包括 Tron）的网络钓鱼诈骗在 2024 年 11 月造成了 938 万美元的损失。

其中，近 700 万美元仅来自以太坊。 这远低于 10 月份报道的 Scam Sniffer 损失 2000 万美元的金额。

这种下降可能归因于钱包安全性的进步，一些基于以太坊的钱包现在会在用户签名之前通知用户可疑交易。 此外，加强用户教育有助于降低网络钓鱼计划的效力。

标签：tron