Một lỗ hổng ít được biết đến đã đẩy khoảng 14.545 ví tiền điện tử Tron vào tình trạng rủi ro, khiến hàng triệu USD trong tài sản kỹ thuật số có nguy cơ bị đánh cắp.
Riêng trong quý IV năm 2024, 2.130 ví đã bị tấn công thông qua một lỗ hổng liên quan đến giao dịch UpdateAttackPermissions, theo một báo cáo từ công ty an ninh AMLBot được chia sẻ với TinTucBitcoin. Tổng cộng, các tài khoản này giữ gần 31,5 triệu USD trong tài sản kỹ thuật số tại thời điểm công bố.
Điều làm cho cuộc tấn công này đặc biệt nguy hiểm là tính chất âm thầm của nó. Không như các vụ tấn công thông thường ngay lập tức hút sạch tiền, kẻ tấn công dùng lỗ hổng này để kiểm soát ví mà không bị phát hiện. Họ chặn các giao dịch ra bên ngoài hợp pháp, làm chủ sở hữu chính đáng không thể truy cập vào quỹ của họ.
Nạn nhân có thể không biết gì mà tiếp tục gửi tiền vào ví đã bị xâm nhập, làm giàu cho hacker mà không biết về sự xâm nhập.
“Thông thường, một nạn nhân không nhận ra rằng ví đã bị mất,” ông Mykhailo Tiutin, giám đốc công nghệ của AMLBot, nói với TinTucBitcoin.
TinTucBitcoin đã nói chuyện với một nạn nhân của dạng tấn công này, người yêu cầu giấu tên vì lo sợ bị các hacker nhắm tới. Anh ta đã gửi thêm 1.000 USDT vào ví của mình trước khi nhận ra.
“Nếu tên trộm ngay lập tức lấy hết tiền của tôi, tôi đã hiểu ngay rằng tôi đã mất ví và sẽ không thêm tiền nữa,” họ nói.
UpdateAccountPermission mở cửa sau
Giao dịch UpdateAccountPermission trên Tron được thiết kế để nâng cao bảo mật tài khoản thông qua các chức năng giống như multisig. Tính năng này cho phép chủ tài khoản chỉ định vai trò cụ thể cho các khóa, xác định trọng số của chúng, và đặt ngưỡng cần thiết cho việc xác nhận giao dịch.
Ví dụ, nếu ngưỡng giao dịch được đặt là 10, và hai khóa mỗi khóa giữ trọng số là 5, cả hai cần phải ký để xác thực giao dịch. Dù hệ thống này nhằm tăng cường bảo mật tài khoản, nó trở thành một lỗ hổng khi kẻ tấn công có quyền truy cập vào khóa riêng của chủ sở hữu.
Bằng cách lợi dụng khóa bị xâm nhập, kẻ tấn công có thể thêm khóa của mình vào tài khoản và thiết lập để đạt ngưỡng giao dịch khi kết hợp với khóa ban đầu. Điều này thực sự khóa các chủ sở hữu hợp pháp, vì họ không thể hoàn tất giao dịch độc lập nhưng có thể tiếp tục gửi tiền vào ví bị xâm nhập. Như Tiutin đã nói:
“Ví không có bất kỳ thông báo hoặc thông tin nào để nói rằng ai đó đã thêm một khóa khác vào ví của bạn. Không có chỉ dấu nào cho thấy ví của bạn đã mất cho đến khi bạn tự gửi một giao dịch ra ngoài.”
Ngay cả sau khi phát hiện ra sự xâm nhập, các nạn nhân có ít lựa chọn. Động thái tức thời duy nhất là ngừng gửi tiền vào ví đã bị xâm nhập.
“Cuộc tấn công này đặc biệt đáng lo ngại, vì không có cách nào để người dùng có thể phục hồi tài sản, vì khóa riêng của kẻ tấn công là cần thiết cho bất kỳ giao dịch nào trong tương lai,” Sattvik Kansal, đồng sáng lập của Rome Protocol, nói với TinTucBitcoin.
Tron không trả lời yêu cầu bình luận của TinTucBitcoin.
Chủ sở hữu ví nhận được thông báo lỗi khi cố gắng gửi tiền ra khỏi ví bị đánh cắp. Nguồn: Tiutin/TronLink
Lợi ích của UpdateAccountPermission
Chức năng UpdateAccountPermission trên Tron không phải tự nhiên là ác ý. Thiết kế của nó phục vụ các mục đích hợp pháp, như cho phép doanh nghiệp thực hiện kiểm soát chung các quỹ. Điều này giảm nguy cơ giao dịch trái phép bằng cách yêu cầu nhiều bên thông qua hành động.
Chức năng này cũng có giá trị đối với quản trị phi tập trung, đặc biệt trong các tài khoản do cộng đồng quản lý bởi các tổ chức tự trị phi tập trung. Bằng việc yêu cầu các phê duyệt đa chữ ký, chức năng này giúp ngăn chặn việc kiểm soát đơn phương quỹ của cộng đồng.
Ngay cả người dùng cá nhân cũng có thể hưởng lợi từ UpdateAccountPermission bằng cách gán nhiều khóa cho tài khoản của mình. Điều này giảm thiểu khả năng mất quyền truy cập vào quỹ từ một thiết bị hoặc khóa bị xâm nhập.
Lạm dụng không chỉ duy nhất trên Tron
Việc lạm dụng các chức năng blockchain không chỉ giới hạn trên Tron. Trên Ethereum, những kẻ ác thường khai thác các chức năng được dùng rộng rãi như “approve” và “permit”, vốn cần thiết cho việc tương tác với các nền tảng DeFi.
Kết hợp với chiến thuật lừa đảo, các chức năng này có thể dẫn đến giảm nghiêm trọng cho người dùng không đề phòng. Công ty an ninh Scam Sniffer báo cáo rằng các vụ lừa đảo qua blockchain (ngoại trừ Tron) gây ra thiệt hại 9,38 triệu USD vào tháng 11 năm 2024.
Trong đó, gần 7 triệu USD đến từ Ethereum. Đây là con số thấp hơn đáng kể so với 20 triệu USD mà Scam Sniffer báo cáo vào tháng 10.
Gần 500 triệu USD bị mất trong các vụ lừa đảo phishing vào năm 2024. Nguồn: Scam Sniffer
Sự sụt giảm có thể được cho là nhờ vào các cải tiến trong bảo mật ví, với nhiều ví dựa trên Ethereum hiện tại thông báo cho người dùng về các giao dịch đáng ngờ trước khi họ ký. Ngoài ra, việc nâng cao giáo dục người dùng đã giúp giảm sức mạnh của các kế hoạch phishing.
Cách ngăn chặn kẻ chiếm dụng ví lặng lẽ
Điều kiện tiên quyết quan trọng cho việc khai thác chức năng UpdateAccountPermission là việc rò rỉ một khóa riêng. Nếu không có điều này, kẻ tấn công không thể đạt được quyền truy cập cần thiết để điều khiển các quyền tài khoản. Một khi khóa riêng bị rò rỉ, tài khoản đã bị xâm nhập, nhưng hướng tấn công này cho phép hacker rút thêm tiền từ nạn nhân.
Axel Leloup, nhà nghiên cứu an ninh hàng đầu tại Dowsers, nhấn mạnh tầm quan trọng của việc hiểu hệ thống quyền của Tron và tiến hành đánh giá định kỳ các quyền tài khoản.
Ông cũng lặp lại một nguyên tắc cơ bản của bảo mật tiền điện tử:
“Đảm bảo rằng các khóa riêng và cụm từ ghi nhớ được lưu trữ an toàn, tốt nhất là ngoại tuyến, và không bao giờ được chia sẻ với các bên không tin cậy.”
Với trường hợp của nạn nhân giấu tên, lỗ hổng ví của anh ta xuất phát từ thiếu sót an ninh vận hành. Ví được sử dụng để thử nghiệm các hợp đồng thông minh, nên khóa riêng được nhúng trong mã nguồn rõ ràng, di chuyển trên nhiều thiết bị.
Một biện pháp bảo vệ tiềm năng khác là giảm lượng Tronix (TRX) lưu trữ trong các ví, đặc biệt đối với người dùng giao dịch USDT. Chức năng UpdateAccountPermission yêu cầu phí 100 TRX, làm cho kẻ tấn công khó có thể khai thác các tài khoản có dự trữ TRX hạn chế. Tiutin khuyến nghị sử dụng các ví cho phép giao dịch USDT mà không đốt cháy TRX.
