Một lỗ hổng bảo mật tiềm ẩn đang ảnh hưởng đến khoảng 14.545 ví TRON, khiến hàng triệu USD tài sản số đối mặt với nguy cơ bị đánh cắp.
Nguyên nhân gây ra lỗ hổng
Một lỗ hổng bảo mật ít được biết đến đã khiến hơn 14.500 ví TRON rơi vào nguy cơ bị chiếm đoạt tài sản. Lỗ hổng này đã dẫn đến việc hàng triệu USD tài sản số có thể bị đánh cắp mà chủ ví không hề hay biết.
AMLBot, một công ty bảo mật, phát hiện rằng 2.130 ví đã bị xâm nhập thông qua lỗ hổng liên quan đến tính năng UpdateAccountPermission, với tổng giá trị tài sản bị ảnh hưởng lên tới 31,5 triệu USD.
Điều khiến cuộc tấn công này đặc biệt nguy hiểm là tính ẩn mình của nó. Thay vì rút tiền ngay lập tức, kẻ tấn công có thể chiếm quyền kiểm soát ví mà không bị phát hiện. Chúng có thể ngừng các giao dịch hợp lệ, khiến chủ ví không thể truy cập tài sản của mình. Một nạn nhân đã chia sẻ rằng họ tiếp tục gửi 1.000 USDT vào ví của mình mà không nhận ra ví đã bị chiếm đoạt, vì không có dấu hiệu nào cho thấy ví đã bị tấn công.
Hiểu rõ về UpdateAccountPermission
Chức năng UpdateAccountPermission của TRON được thiết kế để tăng cường bảo mật tài khoản thông qua cơ chế tương tự multisig, cho phép chủ ví phân quyền và thiết lập các ngưỡng cần thiết để phê duyệt giao dịch. Ví dụ, nếu ngưỡng giao dịch là 10 và mỗi khóa có trọng số 5, cả hai khóa phải ký xác nhận thì giao dịch mới được thực hiện.
Lý thuyết là vậy, nếu kẻ tấn công chiếm được ví, chúng có thể thêm khóa của mình vào tài khoản và điều chỉnh ngưỡng giao dịch sao cho việc vượt qua ngưỡng này trở nên khả thi. Kết quả là chủ ví cũng không thể hoàn tất giao dịch một mình, song vẫn có thể tiếp tục gửi tiền vào ví bị xâm nhập mà không nhận ra.
Theo lời của Mykhailo Tiutin, Giám đốc Công nghệ AMLBot, không có cảnh báo hay dấu hiệu nào nhận biết ví đã bị thay đổi quyền hạn. Các nạn nhân chỉ phát hiện ra khi họ cố gắng thực hiện giao dịch và không thể hoàn thành.
Ngay cả khi phát giác ra sự cố, các nạn nhân chỉ còn lại một lựa chọn là ngừng gửi tiền vào ví bị xâm nhập, và cũng không có cách nào khôi phục được tiền.
Không chỉ riêng trên TRON
Việc lạm dụng các chức năng blockchain không chỉ xảy ra trên TRON. Trên Ethereum, các tác nhân xấu thường lợi dụng các chức năng phổ biến như “approve” và “permit” vốn rất quan trọng trong việc tương tác với các nền tảng tài chính phi tập trung (DeFi).
Thiệt hại từ tấn công crypto đã tăng 40% trong năm 2024, dù DeFi không còn là tâm điểm.
Cách phòng tránh
Điều kiện tiên quyết để kẻ tấn công khai thác chức năng UpdateAccountPermission là rò rỉ khóa riêng (private key). Để phòng tránh, Axel Leloup, nhà nghiên cứu bảo mật tại Dowsers, nhấn mạnh tầm quan trọng của việc hiểu rõ hệ thống quyền hạn của TRON và kiểm tra thường xuyên quyền hạn tài khoản.
Leloup cũng cảnh báo về nguyên tắc cơ bản trong bảo mật tiền mã hóa là lưu trữ private key cũng như seed phrase an toàn, tốt nhất là ngoại tuyến, và không bao giờ chia sẻ với bất kỳ ai không đáng tin cậy.
Một nạn nhân ẩn danh đã chia sẻ rằng ví của anh ta bị xâm nhập do bảo mật kém. Ví này được sử dụng để thử nghiệm hợp đồng thông minh, và khóa riêng của nó đã được nhúng trong mã nguồn và di chuyển qua nhiều thiết bị khác nhau.
Một biện pháp bảo vệ khác là giảm số lượng TRON (TRX) lưu trữ trong ví, đặc biệt đối với người dùng giao dịch USDT. Chức năng UpdateAccountPermission yêu cầu một khoản phí 100 TRX. Tiutin khuyến nghị sử dụng ví cho phép giao dịch USDT mà không cần tiêu tốn TRX.
Nhìn chung, bảo mật ví crypto không chỉ đơn giản là bảo vệ khóa riêng mà còn nằm ở câu chuyện hiểu và kiểm soát các chức năng bảo mật trên nền tảng blockchain. Hơn nữa, các chiêu trò lừa đảo ngày càng tinh vi và khó lường, khiến người dùng khó có thể phòng tránh tuyệt đối. Một ví dụ điển hình là chiêu thức hacker giả dạng làm nhà tuyển dụng đang nổi cộm gần đây.
