هک مخفیانه ۲۱۳۰ کیف پول ترون؛ ۱۴ هزار کیف در معرض خطر سرقت خاموش

بیش از ۱۴,۵۰۰ آدرس ترون در معرض خطر ربوده شدن مخفیانه

یک آسیب‌پذیری کمتر شناخته‌شده، حدود ۱۴,۵۴۵ کیف پول ترون را در معرض خطر قرار داده و میلیون‌ها دلار از دارایی‌های دیجیتال را در معرض سرقت احتمالی قرار داده است. تنها در سه‌ماهه چهارم سال ۲۰۲۴، ۲,۱۳۰ کیف پول از طریق یک آسیب‌پذیری مرتبط با تراکنش UpdateAttackPermissions به خطر افتاده‌اند. این کیف پول‌ها مجموعاً نزدیک به ۳۱.۵ میلیون دلار دارایی دیجیتال را در خود نگه می‌دارند.

آنچه این حمله را به‌ویژه خطرناک می‌کند، ماهیت مخفیانه آن است. برخلاف هک‌های معمول که بلافاصله وجوه را تخلیه می‌کنند، این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا کنترل کیف پول‌ها را بدون شناسایی به دست بگیرند. آنها تراکنش‌های خروجی قانونی را مسدود کرده و عملاً مالک اصلی را از دسترسی به وجوه خود محروم می‌کنند. قربانیان ممکن است بدون آگاهی از این نفوذ، به واریز وجوه به کیف پول‌های به خطر افتاده ادامه دهند و به طور ناخواسته مهاجمان را غنی‌تر کنند.

مایکایلو تیوتین، مدیر ارشد فناوری در AMLBot، به Cointelegraph گفت: «معمولاً قربانی متوجه نمی‌شود که کیف پول او از دست رفته است.»

Cointelegraph با یکی از قربانیان این حمله صحبت کرد که به دلیل ترس از هدف قرار گرفتن توسط هکرها، خواست نامش فاش نشود. او قبل از اینکه متوجه شود کیف پولش به خطر افتاده، ۱,۰۰۰ تتر دیگر به آن اضافه کرده بود. او گفت: «اگر دزد بلافاصله تمام پول من را می‌برد، من فوراً متوجه می‌شدم که کیف پولم را از دست داده‌ام و دیگر وجوه بیشتری به آن اضافه نمی‌کردم.»

چگونه این آسیب‌پذیری کار می‌کند؟

تراکنش UpdateAccountPermission در شبکه ترون برای افزایش امنیت حساب از طریق قابلیت‌های مشابه چندامضایی طراحی شده است. این ویژگی به صاحبان حساب اجازه می‌دهد تا نقش‌های خاصی را به کلیدها اختصاص دهند، مقادیر وزنی آنها را تعریف کنند و آستانه‌های مورد نیاز برای تأیید تراکنش‌ها را تعیین کنند. به عنوان مثال، اگر آستانه تراکنش روی ۱۰ تنظیم شده باشد و دو کلید هر کدام وزنی معادل ۵ داشته باشند، هر دو باید تراکنش را امضا کنند تا معتبر شود.

در حالی که این سیستم برای تقویت امنیت حساب طراحی شده است، زمانی که یک مهاجم به کلید خصوصی مالک دسترسی پیدا کند، به یک آسیب‌پذیری تبدیل می‌شود. با استفاده از کلید به خطر افتاده، مهاجم می‌تواند کلید خود را به حساب اضافه کرده و آن را طوری تنظیم کند که با ترکیب با کلید اصلی، آستانه تراکنش را برآورده کند. این امر عملاً مالکین قانونی را قفل می‌کند، زیرا آنها دیگر نمی‌توانند تراکنش‌ها را به تنهایی نهایی کنند، اما ممکن است به واریز وجوه به کیف پول به خطر افتاده ادامه دهند.

تیوتین گفت: «کیف پول‌ها هیچ نوع اعلان یا اطلاعاتی ندارند که بگویند شخص دیگری کلیدی به کیف پول شما اضافه کرده است. هیچ نشانه‌ای وجود ندارد که کیف پول شما از دست رفته است تا زمانی که خودتان یک تراکنش خروجی ارسال کنید.»

حتی پس از کشف نفوذ، قربانیان با گزینه‌های محدودی مواجه هستند. تنها اقدام فوری این است که از واریز وجوه به کیف پول به خطر افتاده خودداری کنند. ساتویک کانسال، یکی از بنیان‌گذاران Rome Protocol، به Cointelegraph گفت: «این حمله به‌ویژه نگران‌کننده است، زیرا هیچ راهی برای بازیابی وجوه برای کاربر وجود ندارد، زیرا کلید خصوصی مهاجم برای هر تراکنش بعدی مورد نیاز است.»

ترون به درخواست Cointelegraph برای اظهار نظر پاسخ نداد.

کاربردهای قانونی و سوءاستفاده از UpdateAccountPermission

عملکرد UpdateAccountPermission در ترون ذاتاً مخرب نیست. طراحی آن اهداف قانونی را دنبال می‌کند، مانند امکان‌پذیر ساختن کنترل مشترک بر وجوه برای کسب‌وکارها. این امر با نیاز به تأیید چندین طرف برای اقدامات، خطر تراکنش‌های غیرمجاز را کاهش می‌دهد. این ویژگی برای حاکمیت غیرمتمرکز، به‌ویژه در حساب‌های تحت کنترل جوامع که توسط سازمان‌های مستقل غیرمتمرکز مدیریت می‌شوند، نیز ارزشمند است. با نیاز به تأییدیه‌های چندامضایی، این عملکرد از کنترل یک‌جانبه بر وجوه جامعه جلوگیری می‌کند.

حتی کاربران فردی نیز می‌توانند از UpdateAccountPermission با اختصاص چندین کلید به حساب‌های خود بهره‌مند شوند. این امر احتمال از دست دادن دسترسی به وجوه را در صورت به خطر افتادن یک دستگاه یا کلید کاهش می‌دهد.

سوءاستفاده از قابلیت‌های بلاکچین منحصر به ترون نیست. در اتریوم، بازیگران مخرب اغلب از عملکردهای پرکاربردی مانند «approve» و «permit» سوءاستفاده می‌کنند که برای تعامل با پلتفرم‌های مالی غیرمتمرکز ضروری هستند. هنگامی که این عملکردها با تاکتیک‌های فیشینگ ترکیب می‌شوند، می‌توانند منجر به خسارات ویرانگر برای کاربران ناآگاه شوند. شرکت امنیتی Scam Sniffer گزارش داد که کلاهبرداری‌های فیشینگ در بلاکچین‌ها (به‌جز ترون) در نوامبر ۲۰۲۴ منجر به ۹.۳۸ میلیون دلار خسارت شد که نزدیک به ۷ میلیون دلار آن تنها از اتریوم بود. این رقم به‌طور قابل توجهی کمتر از ۲۰ میلیون دلاری است که Scam Sniffer در اکتبر گزارش کرده بود.

کاهش این خسارات ممکن است به پیشرفت‌های امنیت کیف پول نسبت داده شود، زیرا چندین کیف پول مبتنی بر اتریوم اکنون کاربران را قبل از امضای تراکنش‌های مشکوک مطلع می‌کنند. علاوه بر این، افزایش آگاهی کاربران به کاهش تأثیر طرح‌های فیشینگ کمک کرده است.

اهمیت امنیت کلید خصوصی

یک پیش‌شرط حیاتی برای سوءاستفاده از عملکرد UpdateAccountPermission، افشای کلید خصوصی است. بدون این، مهاجمان نمی‌توانند به دسترسی لازم برای دستکاری مجوزهای حساب دست یابند. هنگامی که یک کلید خصوصی افشا می‌شود، حساب از قبل به خطر افتاده است، اما این بردار حمله خاص به هکرها اجازه می‌دهد تا وجوه بیشتری را از قربانیان به سرقت ببرند.

اکسل للوپ، محقق ارشد امنیت در Dowsers، بر اهمیت درک سیستم مجوز ترون و انجام بررسی‌های منظم مجوزهای حساب تأکید کرد. او همچنین یک اصل اساسی امنیت کریپتو را یادآور شد: «اطمینان حاصل کنید که کلیدهای خصوصی و عبارات بازیابی به‌صورت امن، ترجیحاً به‌صورت آفلاین، ذخیره می‌شوند و هرگز با افراد غیرمطمئن به اشتراک گذاشته نمی‌شوند.»

در مورد قربانی ناشناس، آسیب‌پذیری کیف پول او ناشی از ضعف امنیت عملیاتی بود. این کیف پول برای آزمایش قراردادهای هوشمند استفاده می‌شد، بنابراین کلید خصوصی آن به‌صورت متن ساده در کد منبع قرار داشت که در چندین دستگاه منتقل می‌شد.

یکی دیگر از اقدامات حفاظتی بالقوه، به حداقل رساندن مقدار ترونیکس (TRX) ذخیره شده در کیف پول‌ها است، به‌ویژه برای کاربرانی که با تراکنش‌های تتر سروکار دارند. عملکرد UpdateAccountPermission به ۱۰۰ TRX هزینه نیاز دارد، که استفاده از آن را برای مهاجمان در حساب‌هایی با موجودی محدود TRX دشوار می‌کند. تیوتین توصیه می‌کند از کیف پول‌هایی استفاده کنید که اجازه تراکنش‌های تتر را بدون سوزاندن TRX می‌دهند.