超过 14,500 个 Tron 地址面临被悄悄劫持的风险

超过 14,500 个 Tron 地址面临被悄悄劫持的风险

一个鲜为人知的漏洞使估计有 14,545 个 Tron 加密钱包面临风险，数百万美元的数字资产可能被盗。

安全公司 AMLBot 在与 Cointelegraph 分享的一份报告中表示，仅在 2024 年第四季度，就有 2,130 个钱包通过与 UpdateAttackPermissions 交易相关的漏洞遭到入侵。截至发稿时，这些账户总共持有近 3150 万美元的数字资产。

这次攻击之所以特别阴险，是因为它隐秘。与典型的立即耗尽资金的黑客攻击不同，这种漏洞允许攻击者在不被发现的情况下夺取对钱包的控制权。他们阻止合法的出站交易，有效地阻止合法所有者访问他们的资金。

受害者可能会在不知情的情况下继续将资金存入被入侵的钱包，让黑客大赚一笔，而对这一漏洞却浑然不知。

“通常情况下，受害者并不知道钱包不见了，”AMLBot 首席技术官 Mykhailo Tiutin 告诉 Cointelegraph。

Cointelegraph 采访了一位这种攻击媒介的受害者，由于害怕成为黑客的目标，他要求匿名。他在意识到这一点之前，已经在钱包​​里额外存入了 1,000 USDT。

“如果小偷立即拿走我所有的钱，我会立即明白我丢了钱包，也不会再往里面存钱，”他们说。

相关：随着调查人员开始接近，加密货币消耗者正在退休

UpdateAccountPermission 打开后门

Tron 上的 UpdateAccountPermission 交易旨在通过类似多重签名的功能增强帐户安全性。此功能允许帐户所有者为密钥分配特定角色，定义其权重值，并设置交易授权所需的阈值。

例如，如果交易阈值设置为 10，并且两个密钥的权重均为 5，则两个密钥都必须签名才能验证交易。虽然该系统旨在加强帐户安全性，但当攻击者获得所有者的私钥时，它就会成为一个漏洞。

通过利用被盗密钥，攻击者可以将自己的密钥添加到帐户中，并将其配置为与原始密钥结合时满足交易阈值。这实际上锁定了合法所有者，因为他们无法再独立完成交易，但可以继续将资金存入被盗钱包。正如 Tiutin 所说：“钱包没有任何通知或信息表明有人已将另一个密钥添加到您的钱包中。在您自己发送外发交易之前，绝对没有任何迹象表明您的钱包已丢失。”

即使在发现漏洞后，受害者的选择也有限。唯一的直接行动是停止将资金存入被盗钱包。

Rome Protocol 联合创始人 Sattvik Kansal 告诉 Cointelegraph：“这次攻击尤其令人担忧，因为任何进一步的交易都需要攻击者的私钥，因此无法为用户追回资金。”

Tron 没有回应 Cointelegraph 的置评请求。

UpdateAccountPermission 的好处

Tron 上的 UpdateAccountPermission 功能本质上不是恶意的。它的设计服务于合法目的，例如使企业能够对资金实施共享控制。这通过要求多方批准操作来降低未经授权交易的风险。

此功能对于去中心化治理也很有价值，特别是在由去中心化自治组织管理的社区控制账户中。通过要求多重签名批准，该功能有助于防止对社区资金的单方面控制。

即使是个人用户也可以通过将多个密钥分配给自己的帐户来从 UpdateAccountPermission 中受益。这降低了因单个受损设备或密钥而失去对资金访问权限的可能性。

漏洞利用并非 Tron 独有

区块链功能的滥用并非 Tron 独有。在以太坊上，恶意行为者经常利用“批准”和“允许”等广泛使用的功能，这些功能对于与去中心化金融平台交互至关重要。

当与网络钓鱼策略结合使用时，这些功能可能会给毫无戒心的用户带来毁灭性的损失。安全公司 Scam Sniffer 报告称，2024 年 11 月，跨区块链（不包括 Tron）的网络钓鱼诈骗造成了 938 万美元的损失。

其中，仅以太坊就损失了近 700 万美元。这比 Scam Sniffer 在 10 月份报告的 2000 万美元要低得多。

下降可能归因于钱包安全性的进步，现在几个基于以太坊的钱包会在用户签名之前通知他们可疑交易。此外，增加用户教育有助于降低网络钓鱼计划的效力。

标签：tron