أكثر من 14500 عنوان من عناوين Tron معرضة لخطر الاختطاف الصامت

وقد أدى استغلال أقل شهرة إلى تعريض ما يقدر بنحو 14,545 محفظة تشفير من نوع Tron للخطر، مما يعرض ملايين الدولارات من الأصول الرقمية للسرقة المحتملة.

وفي الربع الرابع من عام 2024 وحده، تم اختراق 2130 محفظة من خلال ثغرة أمنية مرتبطة بمعاملة UpdateAttackPermissions، حسبما ذكرت شركة الأمان AMLBot في تقرير تمت مشاركته مع Cointelegraph. تمتلك هذه الحسابات مجتمعة ما يقرب من 31.5 مليون دولار من الأصول الرقمية حتى وقت النشر.

ما يجعل هذا الهجوم خبيثًا بشكل خاص هو طبيعته التخفي. على عكس الاختراقات التقليدية التي تستنزف الأموال على الفور، يسمح هذا الاستغلال للمهاجمين بالسيطرة على المحافظ دون أن يتم اكتشافهم. فهي تمنع المعاملات الصادرة المشروعة، مما يمنع المالك الشرعي فعليًا من الوصول إلى أمواله.

قد يستمر الضحايا دون قصد في إيداع الأموال في محافظ مخترقة، مما يؤدي إلى إثراء المتسللين بينما يظلون غافلين عن الاختراق.

وقال ميخايلو تيوتين، كبير مسؤولي التكنولوجيا في AMLBot، لكوينتيليغراف: “عادةً، لا يفهم الضحية أن المحفظة قد اختفت”.

تحدث كوينتيليغراف مع أحد ضحايا ناقل الهجوم هذا، والذي طلب عدم الكشف عن هويته خوفًا من استهدافه من قبل المتسللين. لقد أضاف مبلغًا إضافيًا قدره 1000 USDT (USDT) إلى محفظته قبل أن يدرك ذلك.

وقالوا: “إذا أخذ اللص كل أموالي على الفور، كنت سأفهم على الفور أنني فقدت محفظتي، ولم أكن لأضيف المزيد من الأموال إليها”.

متعلق ب: يتقاعد منصرفو العملات المشفرة مع بدء المحققين في الاقتراب

UpdateAccountPermission يفتح الباب الخلفي

تم تصميم معاملة UpdateAccountPermission على Tron لتعزيز أمان الحساب من خلال وظائف تشبه multisig. تسمح هذه الميزة لأصحاب الحسابات بتعيين أدوار محددة للمفاتيح، وتحديد قيم وزنها، وتعيين الحدود المطلوبة لترخيص المعاملة.

على سبيل المثال، إذا تم تعيين حد المعاملة على 10، وكان كل مفتاحين يحمل وزنًا قدره خمسة، فيجب على كلاهما التوقيع للتحقق من صحة المعاملة. على الرغم من أن هذا النظام يهدف إلى تعزيز أمان الحساب، إلا أنه يصبح ثغرة أمنية عندما يتمكن المهاجم من الوصول إلى المفتاح الخاص للمالك.

من خلال الاستفادة من المفتاح المخترق، يمكن للمهاجم إضافة مفتاحه الخاص إلى الحساب وتكوينه لتلبية حد المعاملة عند دمجه مع المفتاح الأصلي. يؤدي هذا إلى قفل المالكين الشرعيين بشكل فعال، حيث لم يعد بإمكانهم إنهاء المعاملات بشكل مستقل ولكن قد يستمرون في إيداع الأموال في المحفظة المخترقة. وكما قال تيوتين:

“لا تحتوي المحافظ على أي نوع من الإشعارات أو المعلومات التي تشير إلى أن شخصًا ما قد أضاف مفتاحًا آخر إلى محفظتك. لا يوجد أي مؤشر على الإطلاق على أن محفظتك قد اختفت حتى ترسل معاملة صادرة بنفسك.

وحتى بعد اكتشاف الانتهاك، لم يتبق للضحايا سوى خيارات محدودة. الإجراء الفوري الوحيد هو التوقف عن إيداع الأموال في المحفظة المخترقة.

وقال ساتفيك كانسال، المؤسس المشارك لبروتوكول روما، لكوينتيليغراف: “هذا الهجوم مثير للقلق بشكل خاص، حيث لا توجد طريقة لاسترداد الأموال للمستخدم لأن المفتاح الخاص للمهاجم مطلوب لأي معاملات أخرى”.

ولم تستجب ترون لطلب كوينتيليغراف للتعليق.

فوائد UpdateAccountPermission

وظيفة UpdateAccountPermission على Tron ليست ضارة بطبيعتها. ويخدم تصميمها أغراضاً مشروعة، مثل تمكين الشركات من فرض سيطرة مشتركة على الأموال. وهذا يقلل من مخاطر المعاملات غير المصرح بها من خلال مطالبة أطراف متعددة بالموافقة على الإجراءات.

تعتبر هذه الميزة أيضًا ذات قيمة للحوكمة اللامركزية، خاصة في الحسابات التي يسيطر عليها المجتمع والتي تديرها المنظمات اللامركزية المستقلة. من خلال طلب موافقات التوقيع المتعدد، تساعد الوظيفة على منع السيطرة الأحادية على أموال المجتمع.

حتى المستخدمين الفرديين يمكنهم الاستفادة من UpdateAccountPermission عن طريق تعيين مفاتيح متعددة لحساباتهم الخاصة. وهذا يقلل من احتمالية فقدان الوصول إلى الأموال من جهاز أو مفتاح واحد مخترق.

الاستغلال لا يقتصر على ترون

إن إساءة استخدام وظائف blockchain لا تقتصر على Tron. في إيثريوم، غالبًا ما تستغل الجهات الفاعلة الخبيثة الوظائف المستخدمة على نطاق واسع مثل “الموافقة” و”التصريح”، والتي تعتبر ضرورية للتفاعل مع منصات التمويل اللامركزية.

عند دمجها مع أساليب التصيد الاحتيالي، يمكن أن تؤدي هذه الوظائف إلى خسائر فادحة للمستخدمين المطمئنين. أفادت شركة الأمن Scam Sniffer أن عمليات التصيد الاحتيالي عبر blockchain (باستثناء Tron) أدت إلى خسائر بقيمة 9.38 مليون دولار خلال نوفمبر 2024.

ومن هذا المبلغ، جاء ما يقرب من 7 ملايين دولار من إيثريوم وحده. وهذا أقل بكثير من مبلغ 20 مليون دولار الذي تم الإبلاغ عنه في تقرير Scam Sniffer في أكتوبر.

قد يُعزى هذا الانخفاض إلى التقدم في أمان المحفظة، حيث تقوم العديد من المحافظ المستندة إلى إيثريوم الآن بإخطار المستخدمين بشأن المعاملات المشبوهة قبل التوقيع. بالإضافة إلى ذلك، ساعدت زيادة تعليم المستخدمين في تقليل فعالية مخططات التصيد الاحتيالي.

متعلق ب: قامت Tether وTron وTRM Labs بشكل مشترك بتجميد 126 مليون دولار أمريكي في عام 2024

كيفية منع خاطفي المحفظة الصامتين

الشرط المسبق الحاسم لاستغلال وظيفة UpdateAccountPermission هو تسرب المفتاح الخاص. وبدون ذلك، لن يتمكن المهاجمون من الحصول على حق الوصول اللازم لمعالجة أذونات الحساب. بمجرد تسرب المفتاح الخاص، يكون الحساب قد تم اختراقه بالفعل، ولكن ناقل الهجوم هذا يسمح للمتسللين بسحب المزيد من الأموال من الضحايا.

أكد أكسل ليلوب، الباحث الأمني ​​الرئيسي في Dowsers، على أهمية فهم نظام أذونات Tron وإجراء مراجعات منتظمة لأذونات الحساب.

كما ردد أيضًا المبدأ الأساسي لأمن العملات المشفرة:

“تأكد من تخزين المفاتيح الخاصة والعبارات التذكيرية بشكل آمن، ويفضل أن تكون دون الاتصال بالإنترنت، وعدم مشاركتها مطلقًا مع أطراف غير موثوقة.”

وفي حالة الضحية المجهول الهوية، كانت ثغرة محفظته ناجمة عن ضعف الأمن التشغيلي. تم استخدام المحفظة لاختبار العقود الذكية، لذلك تم تضمين مفتاحها الخاص في كود مصدر عادي، والذي تم ترحيله عبر أجهزة متعددة.

هناك ضمانة محتملة أخرى وهي تقليل كمية ترونيكس (TRX) المخزنة في المحافظ، خاصة للمستخدمين الذين يتعاملون مع معاملات USDT. تتطلب وظيفة UpdateAccountPermission رسومًا قدرها 100 TRX، مما يجعل من الصعب على المهاجمين استغلال الحسابات ذات احتياطيات TRX المحدودة. يوصي Tiutin باستخدام المحافظ التي تسمح بمعاملات USDT دون حرق TRX.

مجلة: مع ازدياد صعوبة التصيد الاحتيالي على الإيثريوم، تنتقل عمليات الاستنزاف إلى TON وBitcoin