Daha az bilinen bir güvenlik açığı, iddiası 14.545 Tron kripto cüzdanını riske atarak milyonlarca dolarlık kripto varlığı potansiyel hırsızlığa maruz bıraktı. Güvenlik firması AMLBot, paylaştığı bir raporda, sırf 2024’ün dördüncü çeyreğinde 2.130 cüzdanın UpdateAttackPermissions sürecine bağlı bir güvenlik açığı yoluyla tehlikeye atıldığını söyledi. Toplu olarak, bu hesaplar yayın vakti itibariyle kripto varlıklarda yaklaşık 31,5 milyon dolar tutuyor.

TRON kullanıcıları, dikkat

Bu saldırıyı bilhassa sinsi yapan şey, zımnî tabiatı. Fonları anında boşaltan tipik taarruzların tersine, bu istismar saldırganların fark edilmeden cüzdanların denetimini ele geçirmelerine imkan tanıyor. Yasal giden süreçleri engelleyerek, hak sahibinin fonlarına erişimini tesirli bir formda kilitliyorlar. Mağdurlar farkında olmadan ele geçirilmiş cüzdanlara coin yatırmaya devam edebilir ve ihlalden habersiz kalarak bilgisayar korsanlarını zenginleştirebilir. AMLBot’un baş teknoloji sorumlusu Mykhailo Tiutin, “Tipik olarak, bir kurban cüzdanın gittiğini anlamıyor” dedi.

Cointelegraph’a nazaran, bilgisayar korsanları tarafından amaç alınma kaygısıyla isminin açıklanmasını istemeyen bu hücumun bir kurbanı, cüzdanının hacklendiğini anlamadan 1.000 USDT daha eklemiş.  Kurban, “Hırsız çabucak tüm paramı alıp götürseydi, cüzdanımı kaybettiğimi çabucak anlardım ve içine daha fazla para koymazdım” diyor.   Tron’daki UpdateAccountPermission süreci, multisig gibisi fonksiyonlar aracılığıyla hesap güvenliğini artırmak için tasarlanmıştır. Bu özellik, hesap sahiplerinin anahtarlara makul roller atamasına, tartı pahalarını tanımlamasına ve süreç yetkilendirmesi için gereken eşikleri belirlemesine imkan tanır.

Örneğin, bir süreç eşiği 10 olarak ayarlanmışsa ve iki anahtarın her biri beş tartıya sahipse, süreci doğrulamak için her ikisinin de imzalaması gerekir. Bu sistem hesap güvenliğini güçlendirmeyi amaçlasa da, bir saldırgan sahibinin özel anahtarına erişim sağladığında bir güvenlik açığı haline gelir. Saldırgan, ele geçirilen anahtardan yararlanarak hesaba kendi anahtarını ekleyebilir ve yepyeni anahtarla birleştirildiğinde süreç eşiğini karşılayacak halde yapılandırabilir. Bu da yasal sahiplerin süreçlerini artık bağımsız olarak tamamlayamayacakları lakin ele geçirilen cüzdana coin yatırmaya devam edebilecekleri için faal bir biçimde kilitlenmelerini sağlar.

İhlalin farkına vardıktan sonra yapacak çok bir şey yok

İhlalin farkına vardıktan sonra bile mağdurların seçenekleri hudutlu. Yapılacak tek acil hareket, ele geçirilen cüzdana coin yatırmayı durdurmak.  Rome Protocol’ün kurucu ortağı Sattvik Kansal “Bu hücum bilhassa tasa verici, zira kullanıcı için fonları kurtarmanın bir yolu yok zira saldırganın özel anahtarı öteki rastgele bir süreç için gerekli” dedi.