Daha az bilinen bir güvenlik açığı, varsayımı 14.545 Tron kripto cüzdanını riske atarak milyonlarca dolarlık kripto varlığı potansiyel hırsızlığa maruz bıraktı. Güvenlik firması AMLBot, paylaştığı bir raporda, sadece 2024’ün dördüncü çeyreğinde 2.130 cüzdanın UpdateAttackPermissions sürecine bağlı bir güvenlik açığı yoluyla tehlikeye atıldığını söyledi. Toplu olarak, bu hesaplar yayın vakti itibariyle kripto varlıklarda yaklaşık 31,5 milyon dolar tutuyor.

TRON kullanıcıları, dikkat

Bu saldırıyı bilhassa sinsi yapan şey, zımnî tabiatı. Fonları anında boşaltan tipik atakların bilakis, bu istismar saldırganların fark edilmeden cüzdanların denetimini ele geçirmelerine imkan tanıyor. Legal giden süreçleri engelleyerek, hak sahibinin fonlarına erişimini tesirli bir halde kilitliyorlar. Mağdurlar farkında olmadan ele geçirilmiş cüzdanlara coin yatırmaya devam edebilir ve ihlalden habersiz kalarak bilgisayar korsanlarını zenginleştirebilir. AMLBot’un baş teknoloji sorumlusu Mykhailo Tiutin, “Tipik olarak, bir kurban cüzdanın gittiğini anlamıyor” dedi.

Cointelegraph’a nazaran, bilgisayar korsanları tarafından maksat alınma kaygısıyla isminin açıklanmasını istemeyen bu akının bir kurbanı, cüzdanının hacklendiğini anlamadan 1.000 USDT daha eklemiş.  Kurban, “Hırsız çabucak tüm paramı alıp götürseydi, cüzdanımı kaybettiğimi çabucak anlardım ve içine daha fazla para koymazdım” diyor.   Tron’daki UpdateAccountPermission süreci, multisig gibisi fonksiyonlar aracılığıyla hesap güvenliğini artırmak için tasarlanmıştır. Bu özellik, hesap sahiplerinin anahtarlara belli roller atamasına, tartı kıymetlerini tanımlamasına ve süreç yetkilendirmesi için gereken eşikleri belirlemesine imkan tanır.

Örneğin, bir süreç eşiği 10 olarak ayarlanmışsa ve iki anahtarın her biri beş tartıya sahipse, süreci doğrulamak için her ikisinin de imzalaması gerekir. Bu sistem hesap güvenliğini güçlendirmeyi amaçlasa da, bir saldırgan sahibinin özel anahtarına erişim sağladığında bir güvenlik açığı haline gelir. Saldırgan, ele geçirilen anahtardan yararlanarak hesaba kendi anahtarını ekleyebilir ve yepyeni anahtarla birleştirildiğinde süreç eşiğini karşılayacak formda yapılandırabilir. Bu da yasal sahiplerin süreçlerini artık bağımsız olarak tamamlayamayacakları fakat ele geçirilen cüzdana coin yatırmaya devam edebilecekleri için aktif bir halde kilitlenmelerini sağlar.

İhlalin farkına vardıktan sonra yapacak çok bir şey yok

İhlalin farkına vardıktan sonra bile mağdurların seçenekleri sonlu. Yapılacak tek acil hareket, ele geçirilen cüzdana coin yatırmayı durdurmak.  Rome Protocol’ün kurucu ortağı Sattvik Kansal “Bu taarruz bilhassa tasa verici, zira kullanıcı için fonları kurtarmanın bir yolu yok zira saldırganın özel anahtarı diğer rastgele bir süreç için gerekli” dedi.