一個嚴重的安全漏洞令超過14,500個Tron加密貨幣錢包面臨風險,或令數百萬美元資產被盜。根據AMLBot安全公司提交予Cointelegraph的報告,單是2024年最後一季內,就有2,130個錢包遭到入侵,當中持有約3,150萬美元的數碼資產。
這次攻擊的隱蔽性極高,尤其危險。有別於傳統的駭客盜竊手法,這種漏洞利用容許攻擊者無聲無息地控制錢包,封鎖合法的外發交易,令真正擁有者失去資金存取權。受害者甚至會不知情下繼續存入更多資產,無聲中讓黑客得益。
AMLBot技術總監Mykhailo Tiutin指出,受害者往往難以察覺錢包已被入侵。有匿名受害者為免再受攻擊而低調分享,表示自己曾在毫不知情的情況下再存入1,000 USDT,如果資金被立刻盜走,才會立即發現問題。
Tron的UpdateAccountPermission交易原是為了提升帳戶安全,設有多重簽名等功能,可指定鑰匙的角色及設置授權門檻。但當攻擊者獲取私鑰後,反而成漏洞,他們可以添加自己的鑰匙,達到操作門檻,從而排除原用戶。
Tiutin指出,當新鑰匙被加進帳戶時,沒有提示,帳戶擁有者往往要到發起外發交易時才發現問題。即使發現後,受害人的補救方法非常有限。目前建議第一時間停止向受損錢包再存入資金。
Rome Protocol聯合創辦人Sattvik Kansal強調今次攻擊嚴重,沒有黑客的私鑰根本無法追回資金。Tron官方目前仍未就事件作出回應。
UpdateAccountPermission的本來功能為提高多角色帳戶安全、減少未經授權的交易及支持去中心化治理,需多重簽名批准。一般用戶也可透過多把鑰匙保護帳戶提升安全性。
Tron並非唯一遭到區塊鏈功能被濫用的案例。在Ethereum上,一些重要功能如「approve」及「permit」經常成為釣魚騙案目標,損失不菲。安全公司Scam Sniffer報告指,單2024年11月已有938萬美元因釣魚騙案損失,Ethereum佔比甚大。
損失較過往減少顯示錢包安全有所提升,用戶教育見效。這些措施對預防釣魚特別重要。
防止UpdateAccountPermission被濫用,首要守好私鑰,因為私鑰是賬戶權限的關鍵。Dowsers首席安全研究員Axel Leloup強調,深入了解Tron權限系統及定期審查很重要,建議將私鑰離線安全存儲,切勿分享給不可靠的人。
匿名受害者之所以被駭,是因其私鑰散佈於多台裝置及源代碼中,操作安全不足。為增保障,Tiutin建議盡量減少錢包內的Tronix (TRX) 金額,並選用可無需燃燒TRX即支援USDT交易的錢包,因現時UpdateAccountPermission操作需支付100 TRX手續費。
Ethereum及其他區塊鏈用戶面對日益複雜的釣魚攻擊,仍需落實嚴密安全策略,保障數碼資產。