Lỗ hổng bảo mật ví Tron khiến hơn 14.000 ví bị ảnh hưởng - Nghiên cứu

Một lỗ hổng bảo mật quan trọng đã đặt hơn 14.500 ví tiền điện tử Tron vào tình trạng nguy hiểm, có thể khiến hàng triệu đô la tài sản bị đánh cắp. Lỗ hổng này, được chi tiết bởi công ty bảo mật AMLBot trong một báo cáo chia sẻ với Cointelegraph, đã ảnh hưởng đến 2.130 ví trong quý cuối năm 2024. Những ví này giữ khoảng 31,5 triệu đô la tài sản kỹ thuật số.

Tính chất âm thầm của cuộc tấn công này khiến nó đặc biệt nguy hiểm . Không giống như các cuộc tấn công thông thường rút hết tiền nhanh chóng, khai thác này cho phép kẻ tấn công kiểm soát ví mà không bị phát hiện. Họ chặn các giao dịch ra ngoài hợp lệ, từ chối chủ sở hữu hợp pháp truy cập tài khoản của họ. Nạn nhân có thể vô tình tiếp tục nạp thêm tài sản, làm giàu cho tin tặc mà không hề biết gì về lỗ hổng này.

Mykhailo Tiutin, Giám đốc Kỹ thuật tại AMLBot, lưu ý sự khó khăn mà nạn nhân gặp phải trong việc hiểu ví của họ đã bị ảnh hưởng. Một nạn nhân giấu tên, do lo ngại bị nhắm mục tiêu thêm, chia sẻ rằng ông đã nạp thêm 1.000 USDT vào ví của mình mà không biết tình trạng bị ảnh hưởng. Nếu tiền đã bị đánh cắp ngay lập tức, điều đó sẽ rõ ràng ngay tức thì.

Giao dịch UpdateAccountPermission của Tron được thiết kế để tăng cường bảo mật tài khoản với các tính năng như chức năng multisig. Nó cho phép gán vai trò cụ thể cho các khóa và thiết lập ngưỡng cho việc ủy quyền giao dịch. Tuy nhiên, tính năng này trở thành lỗ hổng khi kẻ tấn công truy cập vào khóa cá nhân. Họ có thể thêm khóa của họ, đạt được ngưỡng giao dịch và thực tế loại bỏ người dùng hợp pháp.

Tiutin chỉ ra việc không có thông báo khi một khóa mới được thêm vào, khiến chủ sở hữu không biết về lỗ hổng cho đến khi họ thực hiện giao dịch ra ngoài. Ngay cả khi phát hiện ra vấn đề, các lựa chọn cho nạn nhân đều bị giới hạn. Lời khuyên ngay lập tức là ngừng nạp tiền thêm vào ví bị ảnh hưởng.

Sattvik Kansal, đồng sáng lập Rome Protocol, nhấn mạnh sự nghiêm trọng của cuộc tấn công, lưu ý rằng việc khôi phục tiền mà không có khóa cá nhân của kẻ tấn công là không thể. Tron vẫn chưa phản hồi về sự cố này.

Mục đích hợp pháp của UpdateAccountPermission phục vụ nhiều vai trò. Nó cho phép kiểm soát tài khoản chung, giảm bớt giao dịch trái phép và hỗ trợ quản trị phi tập trung bằng cách yêu cầu phê duyệt đa chữ ký. Người dùng cá nhân cũng có lợi tương tự bằng cách bảo mật tài khoản với nhiều khóa.

Tron không phải là nạn nhân duy nhất phải đối mặt với việc lạm dụng các tính năng blockchain. Trên Ethereum, các chức năng quan trọng như "approve" và "permit" thường xuyên bị khai thác trong các chiêu trò lừa đảo, dẫn đến thiệt hại đáng kể. Scam Sniffer, một công ty bảo mật, đã báo cáo mất 9,38 triệu đô la do lừa đảo vào tháng 11 năm 2024, với lượng đáng kể quy cho Ethereum.

Sự giảm sút từ các số liệu trước đó cho thấy sự cải thiện trong bảo mật ví và giáo dục người dùng tốt hơn. Các biện pháp như vậy là rất quan trọng để ngăn chặn các hành vi lừa đảo.

Ngăn chặn việc lợi dụng UpdateAccountPermission bắt đầu bằng việc bảo mật các khóa cá nhân, là yếu tố cần thiết để thao tác các quyền tài khoản. Axel Leloup, nhà nghiên cứu bảo mật hàng đầu tại Dowsers, nhấn mạnh nhu cầu hiểu các hệ thống quyền của Tron và thực hiện các cuộc kiểm tra thường xuyên. Ông khuyên nên lưu trữ khóa cá nhân an toàn ngoại tuyến và tránh chia sẻ chúng với các bên không đáng tin cậy.

Ví của nạn nhân giấu tên bị ảnh hưởng do bảo mật hoạt động kém, với khóa cá nhân của ông bị lộ trong mã nguồn trên nhiều thiết bị. Để bảo vệ thêm, Tiutin gợi ý hạn chế số lượng Tronix (TRX) trong ví và chọn ví cho phép giao dịch USDT mà không cần đốt TRX, với khoản phí 100 TRX cần thiết cho chức năng UpdateAccountPermission.

Đối với người dùng Ethereum và các blockchain khác, khi các cuộc tấn công lừa đảo trở nên ngày càng tinh vi, các biện pháp bảo mật vững chắc vẫn rất quan trọng để bảo vệ tài sản kỹ thuật số.