حمله خاموش به کیف پول‌های ترون

بر اساس گزارش شرکت امنیتی AMLBot که با کوین‌تلگراف به اشتراک گذاشته شده، تنها در سه ماهه چهارم سال ۲۰۲۴، تعداد ۲,۱۳۰ کیف پول از طریق یک آسیب‌پذیری مرتبط با تراکنش UpdateAttackPermissions مورد سوءاستفاده قرار گرفته‌اند. این کیف پول‌ها در مجموع حدود ۳۱.۵ میلیون دلار دارایی دیجیتال دارند. این یعنی پول زیادی در خطر است!

چیزی که این حمله را به‌ویژه خطرناک می‌کند، ماهیت پنهان آن است. برخلاف هک‌های معمولی که بلافاصله وجوه را تخلیه می‌کنند، این سوءاستفاده به مهاجمان اجازه می‌دهد تا کنترل کیف پول‌ها را به دست بگیرند، در حالی که شناسایی نمی‌شوند. آن‌ها تراکنش‌های خروجی قانونی را مسدود می‌کنند و عملاً دسترسی صاحب اصلی به وجوه خود را غیرممکن می‌سازند. قربانیان ممکن است ناآگاهانه به واریز وجوه به کیف پول‌های در معرض خطر ادامه دهند و در حالی که از نقض امنیتی بی‌خبرند، مهاجمان را ثروتمندتر کنند. به قول معروف، دزد سر گردنه هم اینقدر نامرد نیست!

میخائیلو تیوتین، مدیر ارشد فناوری AMLBot، به کوین‌تلگراف گفت: «معمولاً قربانی متوجه نمی‌شود که کیف پولش از دست رفته است.»

کوین‌تلگراف با یکی از قربانیان این حمله صحبت کرده که به دلیل ترس از هدف قرار گرفتن توسط هکرها، درخواست ناشناس ماندن کرده است. او قبل از اینکه متوجه شود، ۱۰۰۰ USDT (تتر) دیگر به کیف پول خود اضافه کرده بود. او می‌گوید: «اگر دزد بلافاصله تمام پولم را می‌برد، بلافاصله متوجه می‌شدم که کیف پولم را از دست داده‌ام و دیگر پولی به آن اضافه نمی‌کردم.»

UpdateAccountPermission: دریچه‌ای به سوی سوءاستفاده

تراکنش UpdateAccountPermission در ترون برای افزایش امنیت حساب از طریق عملکردهای چند امضایی طراحی شده است. این ویژگی به صاحبان حساب اجازه می‌دهد تا نقش‌های خاصی را به کلیدها اختصاص دهند، مقادیر وزن آن‌ها را تعریف کنند و آستانه‌های مورد نیاز برای مجوز تراکنش را تعیین کنند. به عنوان مثال، اگر آستانه تراکنش روی ۱۰ تنظیم شده باشد و دو کلید هر کدام وزن ۵ داشته باشند، هر دو باید برای تأیید تراکنش امضا کنند. این سیستم در اصل برای تقویت امنیت حساب طراحی شده، اما زمانی که یک مهاجم به کلید خصوصی صاحب حساب دسترسی پیدا کند، به یک آسیب‌پذیری تبدیل می‌شود.

مهاجم با استفاده از کلید به خطر افتاده، می‌تواند کلید خود را به حساب اضافه کند و آن را طوری پیکربندی کند که در ترکیب با کلید اصلی، آستانه تراکنش را برآورده کند. این امر عملاً صاحبان قانونی را قفل می‌کند، زیرا دیگر نمی‌توانند تراکنش‌ها را به طور مستقل نهایی کنند، اما ممکن است به واریز وجوه به کیف پول در معرض خطر ادامه دهند. همانطور که تیوتین گفت: «کیف پول‌ها هیچ نوع اعلان یا اطلاعاتی ندارند که نشان دهد کسی کلید دیگری به کیف پول شما اضافه کرده است. تا زمانی که خودتان یک تراکنش خروجی ارسال نکنید، هیچ نشانه‌ای وجود ندارد که کیف پول شما از دست رفته است.»

حتی پس از کشف نقض امنیتی، قربانیان با گزینه‌های محدودی روبرو هستند. تنها اقدام فوری، توقف واریز وجوه به کیف پول در معرض خطر است. ساتویک کانسال، یکی از بنیانگذاران پروتکل رم، به کوین‌تلگراف گفت: «این حمله به ویژه نگران کننده است، زیرا هیچ راهی برای بازیابی وجوه برای کاربر وجود ندارد، زیرا کلید خصوصی مهاجم برای هرگونه تراکنش بعدی مورد نیاز است.»

ترون به درخواست کوین‌تلگراف برای اظهار نظر پاسخی نداده است. خب، این هم از عجایب دنیای کریپتو!

مزایای UpdateAccountPermission

عملکرد UpdateAccountPermission در ترون ذاتاً مخرب نیست. طراحی آن اهداف مشروعی مانند توانمندسازی کسب‌وکارها برای اعمال کنترل مشترک بر وجوه را دنبال می‌کند. این امر با الزام به تأیید اقدامات توسط چندین طرف، خطر تراکنش‌های غیرمجاز را کاهش می‌دهد. این ویژگی همچنین برای حاکمیت غیرمتمرکز، به ویژه در حساب‌های کنترل شده توسط سازمان‌های خودگردان غیرمتمرکز (DAO) ارزشمند است. با الزام به تأیید چند امضایی، این عملکرد به جلوگیری از کنترل یک‌جانبه بر وجوه جامعه کمک می‌کند. حتی کاربران فردی نیز می‌توانند با اختصاص چندین کلید به حساب‌های خود از UpdateAccountPermission بهره‌مند شوند. این امر احتمال از دست دادن دسترسی به وجوه از یک دستگاه یا کلید به خطر افتاده را کاهش می‌دهد. پس این ویژگی در اصل بد نیست، فقط باید مراقب باشیم چطور ازش استفاده می‌کنیم.

سوءاستفاده فقط مختص ترون نیست

سوءاستفاده از عملکردهای بلاک چین فقط مختص ترون نیست. در اتریوم، بازیگران مخرب اغلب از عملکردهای پرکاربرد مانند “approve” و “permit” که برای تعامل با پلتفرم‌های مالی غیرمتمرکز ضروری هستند، سوءاستفاده می‌کنند. این عملکردها در ترکیب با تاکتیک‌های فیشینگ می‌توانند منجر به خسارات ویرانگر برای کاربران ناآگاه شوند. شرکت امنیتی Scam Sniffer گزارش داد که کلاهبرداری‌های فیشینگ در سراسر بلاک چین‌ها (به جز ترون) در نوامبر ۲۰۲۴ منجر به ۹.۳۸ میلیون دلار ضرر شده است. از این میزان، نزدیک به ۷ میلیون دلار فقط از اتریوم بوده است. این رقم به طور قابل توجهی کمتر از ۲۰ میلیون دلاری است که Scam Sniffer در اکتبر گزارش کرده بود. این کاهش ممکن است به پیشرفت‌های امنیتی کیف پول‌ها نسبت داده شود، به طوری که چندین کیف پول مبتنی بر اتریوم اکنون قبل از امضا، به کاربران در مورد تراکنش‌های مشکوک اطلاع می‌دهند. علاوه بر این، افزایش آموزش کاربران به کاهش قدرت طرح‌های فیشینگ کمک کرده است. این یعنی آگاهی، بهترین سلاح ماست!

چگونه از ربودن خاموش کیف پول جلوگیری کنیم؟

یک پیش شرط اساسی برای سوءاستفاده از عملکرد UpdateAccountPermission، نشت کلید خصوصی است. بدون این، مهاجمان نمی‌توانند به دسترسی لازم برای دستکاری مجوزهای حساب دست پیدا کنند. هنگامی که یک کلید خصوصی نشت کند، حساب از قبل به خطر افتاده است، اما این بردار حمله خاص به هکرها اجازه می‌دهد تا حتی وجوه بیشتری را از قربانیان خارج کنند. اکسل لولوپ، محقق ارشد امنیتی در Dowsers، بر اهمیت درک سیستم مجوز ترون و انجام بررسی‌های منظم مجوزهای حساب تأکید کرد. او همچنین بر یک اصل اساسی امنیت کریپتو تأکید کرد: «اطمینان حاصل کنید که کلیدهای خصوصی و عبارات یادآور به طور ایمن، ترجیحاً به صورت آفلاین، ذخیره شده و هرگز با طرف‌های غیرقابل اعتماد به اشتراک گذاشته نشوند.»

در مورد قربانی ناشناس، آسیب‌پذیری کیف پول او ناشی از امنیت عملیاتی ضعیف بود. این کیف پول برای آزمایش قراردادهای هوشمند استفاده می‌شد، بنابراین کلید خصوصی آن در کد منبع ساده تعبیه شده بود که در چندین دستگاه منتقل شده بود. یک محافظ بالقوه دیگر، به حداقل رساندن میزان ترونیکس (TRX) ذخیره شده در کیف پول‌ها، به ویژه برای کاربرانی است که با تراکنش‌های USDT سروکار دارند. عملکرد UpdateAccountPermission به ۱۰۰ TRX کارمزد نیاز دارد، که سوءاستفاده از حساب‌هایی با ذخایر محدود TRX را برای مهاجمان دشوار می‌کند. تیوتین توصیه می‌کند از کیف پول‌هایی استفاده کنید که امکان تراکنش‌های USDT را بدون سوزاندن TRX فراهم می‌کنند. پس حواستون باشه، پولتون رو الکی خرج نکنید!