📣 Хакери атакують Tron-гаманці — новий звіт від AMLBot
опубліковано 12 год тому
Компанія AMLBot повідомила про масштабну атаку на Tron-гаманці. Понад 14 500 акаунтів було скомпрометовано, що призвело до загрози втрати $31,5 млн.
На Tron діє функція «UpdateAccountPermission», що забезпечує гнучкість і безпеку завдяки призначенню ролей ключам і встановленню транзакційних порогів.
Однак хакери, які заволоділи приватним ключем, можуть зловживати цією можливістю. Додавши свій ключ до облікового запису і налаштувавши його на дотримання порогів транзакцій, вони фактично виключають власника з управління рахунком.
Жертви, не знаючи про компрометацію, продовжують поповнювати гаманці, які вже перебувають під контролем хакерів, що лише поглиблює їхні втрати.
За словами Михайла Тютіна з AMLBot, більшість користувачів не помічають, що їхні гаманці перебувають під контролем зловмисників, поки не намагаються здійснити переказ коштів.
Один із постраждалих розповів, що перевів 1 000 USDT на скомпрометований гаманець, перш ніж усвідомив проблему. Він зазначив, що пряма крадіжка була б більш очевидною.
Функція «UpdateAccountPermission» не містить помилок і служить корисним інструментом для управління акаунтами, включно зі спільним використанням і децентралізованим управлінням через мультипідписи. Однак ризик її неправильного застосування підкреслює критичну важливість захисту приватних ключів і регулярного аудиту налаштувань доступу.
Проблема вразливостей не обмежується тільки Tron. В Ethereum зловмисники можуть зловживати функціями «approve» і «permit», які часто використовуються в DeFi-операціях.
Однак хакери, які заволоділи приватним ключем, можуть зловживати цією можливістю. Додавши свій ключ до облікового запису і налаштувавши його на дотримання порогів транзакцій, вони фактично виключають власника з управління рахунком.
Жертви, не знаючи про компрометацію, продовжують поповнювати гаманці, які вже перебувають під контролем хакерів, що лише поглиблює їхні втрати.
За словами Михайла Тютіна з AMLBot, більшість користувачів не помічають, що їхні гаманці перебувають під контролем зловмисників, поки не намагаються здійснити переказ коштів.
Один із постраждалих розповів, що перевів 1 000 USDT на скомпрометований гаманець, перш ніж усвідомив проблему. Він зазначив, що пряма крадіжка була б більш очевидною.
Функція «UpdateAccountPermission» не містить помилок і служить корисним інструментом для управління акаунтами, включно зі спільним використанням і децентралізованим управлінням через мультипідписи. Однак ризик її неправильного застосування підкреслює критичну важливість захисту приватних ключів і регулярного аудиту налаштувань доступу.
Проблема вразливостей не обмежується тільки Tron. В Ethereum зловмисники можуть зловживати функціями «approve» і «permit», які часто використовуються в DeFi-операціях.
Для запобігання таким ризикам рекомендується використовувати апаратні гаманці, періодично перевіряти налаштування облікового запису і приділяти увагу точності адрес, що вводяться під час переказів.
Більше актуальних новин
Більше актуальних новин
Breaking news