一個嚴重的安全漏洞讓超過 14,500 個 Tron 加密貨幣錢包岌岌可危,數百萬美元資產可能面臨失竊風險。根據安全公司 AMLBot 提供給 Cointelegraph 的報告,僅 2024 年最後一季就有 2,130 個錢包受到威脅,這些錢包共持有約 3,150 萬美元的數位資產。
這種攻擊的潛伏特性使其特別危險。與傳統的駭客手法不同,駭客並不會立即竊取資產,而是能夠在未被察覺的情況下掌控錢包,他們會阻止合法的轉出交易,有效地讓擁有者無法取回資金。受害者甚至可能毫不知情地繼續存入更多資產,最終讓駭客從中獲利,卻未能察覺錢包已遭侵害。
AMLBot 技術長 Mykhailo Tiutin 指出,受害者很難察覺錢包已被駭。出於擔憂進一步遭受攻擊,一位匿名受害者分享了他曾經再存入 1,000 USDT 到自己的錢包,毫不知情錢包早已被入侵。如果資金當下就被竊走,反而會立即察覺問題。
Tron 的「UpdateAccountPermission」交易本意是強化賬戶安全,如多重簽章功能,可讓特定金鑰賦予授權或設定簽章門檻。但當攻擊者取得私鑰時,此功能反而成為弱點,因為他們能加入自己的金鑰,達到新的簽章門檻,徹底將原本的持有人鎖在門外。
Tiutin 指出,當新金鑰加入時並不會有通知,導致用戶直到發起轉出時才發現異常。即使發現問題,受害者選項仍然有限,建議第一時間停止向該受影響錢包存入新資產。
Rome Protocol 聯合創辦人 Sattvik Kansal 提到,此攻擊嚴重且若無駭客私鑰,資產根本無法找回。Tron 官方尚未針對事件發表回應。
UpdateAccountPermission 的設計本為多用途,可協助共管帳戶、減少未經授權的交易,也有助於去中心化治理因需多簽同意。個人用戶同樣能利用多金鑰提升賬戶安全。
Tron 並非唯一被區塊鏈功能濫用的案例。在以太坊上,「approve」和「permit」等核心功能經常被釣魚攻擊利用,造成重大損失。安全公司 Scam Sniffer 指出,僅在 2024 年 11 月,以太坊釣魚攻擊損失就達到 938 萬美元。
近來損失金額下降顯示錢包安全和用戶教育有所提升,這對防範釣魚詐騙來說相當關鍵。
防範 UpdateAccountPermission 濫用的基礎就是保管好私鑰。私鑰是操作賬戶權限的核心。Dowsers 的資安研究主管 Axel Leloup 強調,應深入了解 Tron 的權限系統並定期檢查,同時離線安全儲存私鑰,絕不分享給不信任的對象。
那位匿名受害者的錢包遭駭,源自作業安全不足,私鑰曝露於多台設備的程式碼中。為進一步防護,Tiutin 建議錢包內 Trx (TRX) 金額不宜過高,並盡量使用可直接進行 USDT 交易且不需燃燒 TRX 的錢包,因 UpdateAccountPermission 交易需 100 TRX 手續費。
對於以太坊及其他區塊鏈用戶,隨著釣魚攻擊手法日益複雜,強化安全措施依然是保護數位資產的關鍵。