- Penyerang mengeksploitasi kerentanan baru di dompet Tron, dengan 2.130 dompet disusupi pada Q4 2024 saja, masing-masing kehilangan sekitar $31,5 juta.
- Metode serangan ini melibatkan pemblokiran transaksi yang sah sambil membiarkan korban menyetor lebih banyak dana tanpa sepengetahuan mereka.
Kerentanan yang baru ditemukan di dompet Tron menemukan lebih dari 14,500 dompet di platform mengekspos jutaan kepemilikan mata uang kripto. Menurut laporan oleh perusahaan keamanan AMLBot, 2.130 dompet semacam itu diduga telah disusupi pada Q4 2024 saja, masing-masing berisi sekitar $31,5 juta.
Penipuan Dompet Kripto Tron
Alih-alih langsung menguras dompet, penyerang diam-diam mengambil kendali dan memblokir transaksi yang sah, sehingga pemilik sebenarnya tidak menyadarinya. Keterlambatan deteksi ini memungkinkan korban secara tidak sengaja menyetor lebih banyak uang ke rekening yang disusupi.
-Advertisement-.
“Biasanya korban bahkan tidak menyadari bahwa dompetnya hilang,” jelas Mykhailo Tyutin, CTO AMLBot. Salah satu pengguna yang terkena dampak mengungkapkan bagaimana dia menambahkan 1.000 USDT ke dompetnya tanpa menyadari bahwa dompetnya telah diretas. “Jika pencuri itu mengambil semua uang saya sekaligus, saya akan segera menyadari bahwa saya kehilangan dompet saya,” katanya menurut laporan CoinTelegraph.
Kerentanannya terletak pada transaksi UpdateAccountPermission Tron, sebuah fitur yang dirancang untuk membuat dompet lebih aman dengan menetapkan peran dan menetapkan ambang otorisasi transaksi. Misalnya, jika batas transaksi adalah 10 dan dua kunci memiliki bobot masing-masing lima, kedua kunci harus menyetujui transaksi tersebut.
Namun, jika penyerang mendapatkan kunci pribadi pemilik dompet, mereka dapat menambahkan kunci pribadinya ke akun dan mengonfigurasinya untuk memenuhi ambang batas yang diperlukan. Hal ini, pada dasarnya, menghilangkan pemilik sah dompetnya.
“Dompet tidak memiliki pemberitahuan atau informasi apa pun bahwa seseorang telah menambahkan kunci lain ke dompet Anda. Sama sekali tidak ada indikasi bahwa dompet Anda hilang sampai Anda mengirimkan sendiri transaksi keluarnya,” kata Teutin.
Setelah ditutup, pengguna tidak dapat melakukan apa pun lagi. “Serangan ini sangat memprihatinkan, karena tidak ada cara untuk memulihkan dana pengguna karena kunci pribadi penyerang diperlukan untuk transaksi lebih lanjut,” kata Satvik Kansal, salah satu pendiri Protokol Roma.
Meskipun kerentanan ini dieksploitasi, fungsi UpdateAccountPermission berguna dalam beberapa cara. Hal ini terutama bermanfaat bagi badan usaha dan badan pengatur untuk memiliki pengendalian bersama atas dana mereka. Menggunakan persetujuan multi-tanda tangan mengurangi transaksi tidak sah dan mendukung manajemen terdesentralisasi.
Pindah untuk meningkatkan keamanan dompet
Ini bukanlah sesuatu yang eksklusif untuk Tron yang mengeksploitasi fungsi dompet. Faktanya, banyak pengguna Ethereum menderita kerugian yang signifikan karena penyalahgunaan fitur populer seperti “Setuju” dan “Izinkan.” Perusahaan keamanan Blockchain Scam Sniffer mencatat bahwa operasi phishing berjumlah $9,38 juta pada November 2024, di mana $7 juta di antaranya berasal dari Ethereum.
Mencegah serangan jenis ini dimulai dengan melindungi kunci privat. Seperti yang dijelaskan oleh Axel Leloup, peneliti keamanan senior di Dowsers, “Pastikan kunci pribadi dan frasa mnemonik Anda disimpan dengan aman, sebaiknya offline, dan jangan pernah dibagikan dengan pihak yang tidak tepercaya.”
Dalam satu contoh, kunci pribadi dalam dompet Tron yang terkena dampak disertakan dalam kode sumber langsung dari kontrak pintar selama pengujian, sehingga membuatnya sangat rentan. Paparan saldo dompet yang rendah dapat membuat penyerang enggan, terutama karena fungsi UpdateAccountPermission membebankan biaya sebesar 100 TRX.
-Advertisement-.
