حمله خاموش و خطرناک

بر اساس گزارش شرکت امنیتی AMLBot که با کوین‌تلگراف به اشتراک گذاشته شده، تنها در سه ماهه چهارم سال ۲۰۲۴، تعداد ۲,۱۳۰ کیف پول از طریق یک آسیب‌پذیری مرتبط با تراکنش UpdateAttackPermissions مورد نفوذ قرار گرفته‌اند. این حساب‌ها در مجموع حدود ۳۱.۵ میلیون دلار دارایی دیجیتال دارند. چیزی که این حمله را به‌ویژه خطرناک می‌کند، ماهیت پنهان آن است. برخلاف هک‌های معمولی که بلافاصله وجوه را تخلیه می‌کنند، این اکسپلویت به مهاجمان اجازه می‌دهد تا کنترل کیف پول‌ها را در دست بگیرند، بدون اینکه شناسایی شوند. آن‌ها تراکنش‌های خروجی قانونی را مسدود می‌کنند و عملاً صاحب اصلی را از دسترسی به وجوه خود محروم می‌کنند. قربانیان ممکن است ناآگاهانه به واریز وجوه به کیف پول‌های آلوده ادامه دهند و در حالی که از نقض امنیتی بی‌خبرند، هکرها را ثروتمندتر کنند.

به گفته میخائیلو تیوتین، مدیر ارشد فناوری AMLBot، “معمولاً قربانی متوجه نمی‌شود که کیف پولش از دست رفته است.”

کوین‌تلگراف با یکی از قربانیان این حمله صحبت کرده که به دلیل ترس از هدف قرار گرفتن توسط هکرها، درخواست ناشناس ماندن کرده است. او قبل از اینکه متوجه شود، ۱۰۰۰ USDT دیگر به کیف پول خود اضافه کرده بود. او می‌گوید: “اگر دزد بلافاصله تمام پولم را می‌برد، بلافاصله متوجه می‌شدم که کیف پولم را از دست داده‌ام و دیگر پولی به آن اضافه نمی‌کردم.”

چگونه این حمله کار می‌کند؟

تراکنش UpdateAccountPermission در ترون برای افزایش امنیت حساب از طریق عملکردهای چند امضایی طراحی شده است. این ویژگی به صاحبان حساب اجازه می‌دهد تا نقش‌های خاصی را به کلیدها اختصاص دهند، مقادیر وزن آن‌ها را تعریف کنند و آستانه‌های مورد نیاز برای مجوز تراکنش را تعیین کنند. به عنوان مثال، اگر آستانه تراکنش روی ۱۰ تنظیم شده باشد و دو کلید هر کدام وزن ۵ داشته باشند، هر دو باید برای تأیید تراکنش امضا کنند. در حالی که این سیستم برای تقویت امنیت حساب در نظر گرفته شده است، زمانی که یک مهاجم به کلید خصوصی صاحب حساب دسترسی پیدا می‌کند، به یک آسیب‌پذیری تبدیل می‌شود. با استفاده از کلید به خطر افتاده، یک مهاجم می‌تواند کلید خود را به حساب اضافه کند و آن را طوری پیکربندی کند که هنگام ترکیب با کلید اصلی، آستانه تراکنش را برآورده کند. این امر عملاً صاحبان قانونی را قفل می‌کند، زیرا دیگر نمی‌توانند تراکنش‌ها را به طور مستقل نهایی کنند، اما ممکن است به واریز وجوه به کیف پول به خطر افتاده ادامه دهند. همانطور که تیوتین گفت:

کیف پول‌ها هیچ نوع اعلان یا اطلاعاتی ندارند که نشان دهد شخص دیگری کلید دیگری به کیف پول شما اضافه کرده است. تا زمانی که خودتان یک تراکنش خروجی ارسال نکنید، هیچ نشانه‌ای وجود ندارد که کیف پول شما از دست رفته است.

حتی پس از کشف نقض امنیتی، قربانیان با گزینه‌های محدودی روبرو هستند. تنها اقدام فوری، توقف واریز وجوه به کیف پول به خطر افتاده است.

این حمله به ویژه نگران کننده است، زیرا هیچ راهی برای بازیابی وجوه برای کاربر وجود ندارد، زیرا کلید خصوصی مهاجم برای هر تراکنش بعدی مورد نیاز است.

ترون به درخواست کوین‌تلگراف برای اظهار نظر پاسخی نداده است.

کاربرد اصلی UpdateAccountPermission

عملکرد UpdateAccountPermission در ترون ذاتاً مخرب نیست. طراحی آن اهداف مشروعی مانند توانمندسازی کسب‌وکارها برای اعمال کنترل مشترک بر وجوه را دنبال می‌کند. این امر با الزام به تأیید اقدامات توسط چندین طرف، خطر تراکنش‌های غیرمجاز را کاهش می‌دهد. این ویژگی همچنین برای حاکمیت غیرمتمرکز، به ویژه در حساب‌های کنترل شده توسط جامعه که توسط سازمان‌های خودگردان غیرمتمرکز (DAO) مدیریت می‌شوند، ارزشمند است. با الزام به تأیید چند امضایی، این عملکرد به جلوگیری از کنترل یک‌جانبه بر وجوه جامعه کمک می‌کند. حتی کاربران فردی می‌توانند با اختصاص چندین کلید به حساب‌های خود از UpdateAccountPermission بهره‌مند شوند. این امر احتمال از دست دادن دسترسی به وجوه از یک دستگاه یا کلید به خطر افتاده را کاهش می‌دهد.

سوء استفاده از عملکردهای بلاکچین

سوء استفاده از عملکردهای بلاکچین محدود به ترون نیست. در اتریوم، بازیگران مخرب اغلب از عملکردهای پرکاربرد مانند “approve” و “permit” که برای تعامل با پلتفرم‌های مالی غیرمتمرکز ضروری هستند، سوء استفاده می‌کنند. هنگامی که این عملکردها با تاکتیک‌های فیشینگ ترکیب می‌شوند، می‌توانند منجر به خسارات ویرانگر برای کاربران ناآگاه شوند. شرکت امنیتی Scam Sniffer گزارش داد که کلاهبرداری‌های فیشینگ در سراسر بلاکچین‌ها (به استثنای ترون) در نوامبر ۲۰۲۴ منجر به ۹.۳۸ میلیون دلار ضرر شده است. از این میزان، نزدیک به ۷ میلیون دلار فقط از اتریوم بوده است. این رقم به طور قابل توجهی کمتر از ۲۰ میلیون دلاری است که Scam Sniffer در ماه اکتبر گزارش کرده بود.

این کاهش ممکن است به پیشرفت‌های امنیتی کیف پول نسبت داده شود، به طوری که چندین کیف پول مبتنی بر اتریوم اکنون قبل از امضای تراکنش‌ها، به کاربران در مورد تراکنش‌های مشکوک اطلاع می‌دهند. علاوه بر این، افزایش آموزش کاربران به کاهش قدرت طرح‌های فیشینگ کمک کرده است.

پیشگیری بهتر از درمان

یک پیش شرط اساسی برای بهره برداری از عملکرد UpdateAccountPermission، نشت کلید خصوصی است. بدون این، مهاجمان نمی‌توانند به دسترسی لازم برای دستکاری مجوزهای حساب دست یابند. هنگامی که یک کلید خصوصی نشت می‌کند، حساب از قبل به خطر افتاده است، اما این بردار حمله خاص به هکرها اجازه می‌دهد تا حتی وجوه بیشتری را از قربانیان خارج کنند. اکسل لولوپ، محقق ارشد امنیتی در Dowsers، بر اهمیت درک سیستم مجوز ترون و انجام بررسی‌های منظم مجوزهای حساب تأکید کرد. او همچنین بر یک اصل اساسی امنیت کریپتو تأکید کرد:

اطمینان حاصل کنید که کلیدهای خصوصی و عبارات یادگاری به طور ایمن، ترجیحاً آفلاین، ذخیره شده و هرگز با طرف‌های غیرقابل اعتماد به اشتراک گذاشته نشوند.

در مورد قربانی ناشناس، آسیب پذیری کیف پول او ناشی از امنیت عملیاتی ضعیف بود. این کیف پول برای آزمایش قراردادهای هوشمند استفاده می‌شد، بنابراین کلید خصوصی آن در کد منبع ساده تعبیه شده بود که در چندین دستگاه منتقل شده بود. یک محافظ بالقوه دیگر، به حداقل رساندن میزان ترونیکس (TRX) ذخیره شده در کیف پول‌ها، به ویژه برای کاربرانی است که با تراکنش‌های USDT سروکار دارند. عملکرد UpdateAccountPermission به ۱۰۰ TRX کارمزد نیاز دارد، که بهره برداری از حساب‌های دارای ذخایر محدود TRX را برای مهاجمان دشوار می‌کند. تیوتین توصیه می‌کند از کیف پول‌هایی استفاده کنید که امکان تراکنش‌های USDT را بدون سوزاندن TRX فراهم می‌کنند.