Bitget App
Giao dịch thông minh hơn
Mua CryptoThị trườngGiao dịchFuturesBots‌EarnSao chép
Lỗ hổng bảo mật ví Tron khiến hơn 14.000 ví bị ảnh hưởng - Nghiên cứu

Lỗ hổng bảo mật ví Tron khiến hơn 14.000 ví bị ảnh hưởng - Nghiên cứu

Yellow2025/01/22 02:11
Theo:Yellow

Một lỗ hổng bảo mật quan trọng đã đặt hơn 14.500 ví tiền điện tử Tron vào tình trạng nguy hiểm, có thể khiến hàng triệu đô la tài sản bị đánh cắp. Lỗ hổng này, được chi tiết bởi công ty bảo mật AMLBot trong một báo cáo chia sẻ với Cointelegraph, đã ảnh hưởng đến 2.130 ví trong quý cuối năm 2024. Những ví này giữ khoảng 31,5 triệu đô la tài sản kỹ thuật số.

Tính chất âm thầm của cuộc tấn công này khiến nó đặc biệt nguy hiểm . Không giống như các cuộc tấn công thông thường rút hết tiền nhanh chóng, khai thác này cho phép kẻ tấn công kiểm soát ví mà không bị phát hiện. Họ chặn các giao dịch ra ngoài hợp lệ, từ chối chủ sở hữu hợp pháp truy cập tài khoản của họ. Nạn nhân có thể vô tình tiếp tục nạp thêm tài sản, làm giàu cho tin tặc mà không hề biết gì về lỗ hổng này.

Mykhailo Tiutin, Giám đốc Kỹ thuật tại AMLBot, lưu ý sự khó khăn mà nạn nhân gặp phải trong việc hiểu ví của họ đã bị ảnh hưởng. Một nạn nhân giấu tên, do lo ngại bị nhắm mục tiêu thêm, chia sẻ rằng ông đã nạp thêm 1.000 USDT vào ví của mình mà không biết tình trạng bị ảnh hưởng. Nếu tiền đã bị đánh cắp ngay lập tức, điều đó sẽ rõ ràng ngay tức thì.

Giao dịch UpdateAccountPermission của Tron được thiết kế để tăng cường bảo mật tài khoản với các tính năng như chức năng multisig. Nó cho phép gán vai trò cụ thể cho các khóa và thiết lập ngưỡng cho việc ủy quyền giao dịch. Tuy nhiên, tính năng này trở thành lỗ hổng khi kẻ tấn công truy cập vào khóa cá nhân. Họ có thể thêm khóa của họ, đạt được ngưỡng giao dịch và thực tế loại bỏ người dùng hợp pháp.

Tiutin chỉ ra việc không có thông báo khi một khóa mới được thêm vào, khiến chủ sở hữu không biết về lỗ hổng cho đến khi họ thực hiện giao dịch ra ngoài. Ngay cả khi phát hiện ra vấn đề, các lựa chọn cho nạn nhân đều bị giới hạn. Lời khuyên ngay lập tức là ngừng nạp tiền thêm vào ví bị ảnh hưởng.

Sattvik Kansal, đồng sáng lập Rome Protocol, nhấn mạnh sự nghiêm trọng của cuộc tấn công, lưu ý rằng việc khôi phục tiền mà không có khóa cá nhân của kẻ tấn công là không thể. Tron vẫn chưa phản hồi về sự cố này.

Mục đích hợp pháp của UpdateAccountPermission phục vụ nhiều vai trò. Nó cho phép kiểm soát tài khoản chung, giảm bớt giao dịch trái phép và hỗ trợ quản trị phi tập trung bằng cách yêu cầu phê duyệt đa chữ ký. Người dùng cá nhân cũng có lợi tương tự bằng cách bảo mật tài khoản với nhiều khóa.

Tron không phải là nạn nhân duy nhất phải đối mặt với việc lạm dụng các tính năng blockchain. Trên Ethereum, các chức năng quan trọng như "approve" và "permit" thường xuyên bị khai thác trong các chiêu trò lừa đảo, dẫn đến thiệt hại đáng kể. Scam Sniffer, một công ty bảo mật, đã báo cáo mất 9,38 triệu đô la do lừa đảo vào tháng 11 năm 2024, với lượng đáng kể quy cho Ethereum.

Sự giảm sút từ các số liệu trước đó cho thấy sự cải thiện trong bảo mật ví và giáo dục người dùng tốt hơn. Các biện pháp như vậy là rất quan trọng để ngăn chặn các hành vi lừa đảo.

Ngăn chặn việc lợi dụng UpdateAccountPermission bắt đầu bằng việc bảo mật các khóa cá nhân, là yếu tố cần thiết để thao tác các quyền tài khoản. Axel Leloup, nhà nghiên cứu bảo mật hàng đầu tại Dowsers, nhấn mạnh nhu cầu hiểu các hệ thống quyền của Tron và thực hiện các cuộc kiểm tra thường xuyên. Ông khuyên nên lưu trữ khóa cá nhân an toàn ngoại tuyến và tránh chia sẻ chúng với các bên không đáng tin cậy.

Ví của nạn nhân giấu tên bị ảnh hưởng do bảo mật hoạt động kém, với khóa cá nhân của ông bị lộ trong mã nguồn trên nhiều thiết bị. Để bảo vệ thêm, Tiutin gợi ý hạn chế số lượng Tronix (TRX) trong ví và chọn ví cho phép giao dịch USDT mà không cần đốt TRX, với khoản phí 100 TRX cần thiết cho chức năng UpdateAccountPermission.

Đối với người dùng Ethereum và các blockchain khác, khi các cuộc tấn công lừa đảo trở nên ngày càng tinh vi, các biện pháp bảo mật vững chắc vẫn rất quan trọng để bảo vệ tài sản kỹ thuật số.

0

Tuyên bố miễn trừ trách nhiệm: Mọi thông tin trong bài viết đều thể hiện quan điểm của tác giả và không liên quan đến nền tảng. Bài viết này không nhằm mục đích tham khảo để đưa ra quyết định đầu tư.

PoolX: Khóa để nhận token mới.
APR lên đến 12%. Luôn hoạt động, luôn nhận airdrop.
Khóa ngay!

Bạn cũng có thể thích

Tin tức hàng ngày: XRP tăng vọt khi CEO Ripple tuyên bố cuộc chiến pháp lý với SEC đã kết thúc, nhà làm phim Hollywood bị buộc tội lừa đảo 11 triệu USD từ Netflix và nhiều tin khác

Tóm tắt nhanh Giám đốc điều hành Ripple, Brad Garlinghouse, đã thông báo vào thứ Tư rằng cuộc chiến pháp lý của công ty với Ủy ban Chứng khoán và Giao dịch đã kết thúc. Nhà biên kịch và đạo diễn Hollywood Carl Erik Rinsch đã bị bắt vào thứ Ba và bị buộc tội lừa đảo 11 triệu đô la từ Netflix cho một loạt phim khoa học viễn tưởng dự kiến, một phần được sử dụng cho giao dịch tiền điện tử.

The Block2025/03/19 20:03
Tin tức hàng ngày: XRP tăng vọt khi CEO Ripple tuyên bố cuộc chiến pháp lý với SEC đã kết thúc, nhà làm phim Hollywood bị buộc tội lừa đảo 11 triệu USD từ Netflix và nhiều tin khác

Các quỹ đầu tư mạo hiểm đa ngành phân tích rủi ro và phần thưởng của việc tự huy động thanh khoản bằng token

Các nhà đầu tư mạo hiểm từ M13 cho rằng việc phát hành token là một cách hiệu quả để khởi động thanh khoản, miễn là nó được thực hiện một cách cẩn thận.

The Block2025/03/19 20:03
Các quỹ đầu tư mạo hiểm đa ngành phân tích rủi ro và phần thưởng của việc tự huy động thanh khoản bằng token

Các nhà điều hành của sàn giao dịch tiền điện tử Nga đã đóng cửa Garantex dường như chuyển tiền của khách hàng sang một nền tảng giao dịch mới

Tóm tắt nhanh Sàn giao dịch mới, Grinex, được cho là có những điểm tương đồng với Garantex, sàn đã bị đóng cửa vào đầu tháng này bởi các cơ quan quốc tế. Công ty phân tích Elliptic cho biết Garantex đã xử lý khối lượng giao dịch trị giá 60 tỷ USD sau khi bị Bộ Tài chính Hoa Kỳ trừng phạt vào năm 2019.

The Block2025/03/19 20:03
Các nhà điều hành của sàn giao dịch tiền điện tử Nga đã đóng cửa Garantex dường như chuyển tiền của khách hàng sang một nền tảng giao dịch mới

Các quỹ ETF hợp đồng tương lai Solana ra mắt tuần này thông qua Volatility Shares trong khi các quỹ khác chờ phê duyệt sản phẩm giao ngay

Volatility Shares sẽ ra mắt hai quỹ giao dịch trao đổi liên kết với hiệu suất giá của Solana vào thứ Năm, theo trang web của công ty. Một quỹ ETF, ký hiệu mã SOLZ, cung cấp cho nhà đầu tư sự tiếp xúc với các hợp đồng tương lai Solana, trong khi SOLT "tìm kiếm kết quả đầu tư hàng ngày... tương ứng với hai lần lợi nhuận của giá Solana."

The Block2025/03/19 18:45
Các quỹ ETF hợp đồng tương lai Solana ra mắt tuần này thông qua Volatility Shares trong khi các quỹ khác chờ phê duyệt sản phẩm giao ngay