Tron Güvenlik Açığı: UpdateAccountPermission Riski ve Çözümleri
Tron Güvenlik Açığı – Yeni keşfedilen bir güvenlik açığı, 14.545 Tron cüzdanını tehlikeye atarak milyonlarca dolarlık dijital varlıkları potansiyel soyguna açık hale getirdi. AMLBot, bir güvenlik firması, sadece 2024’ün dördüncü çeyreğinde 2.130 cüzdanın bu açık nedeniyle tehlikeye girdiğini bildirdi. Bu cüzdanlarda raporun yayınlandığı tarihte toplamda 31,5 milyon dolar değerinde dijital varlık bulunuyordu.
Saldırının Nasıl Çalıştığı: Gizli ve Tehlikeli
Bu saldırıyı özel kılan şey, gizli yapısıdır. Tipik saldırıların aksine, saldırganlar hemen fonları çalmak yerine, bu açık sayesinde cüzdanlara kontrol sağlayabiliyorlar ve bu süreç fark edilmeden gerçekleşiyor. Saldırganlar, geçerli olan çıkış işlemlerini engelleyerek, gerçek sahiplerini fonlarından mahrum bırakıyor. Kurbanlar, cüzdanlarının zaten ele geçirildiğinden habersiz bir şekilde fon eklemeye devam edebiliyor.
Mykhailo Tiutin, AMLBot CTO’su, “Bir mağdur, cüzdanın kaybolduğunu fark etmez.” diyerek durumu açıkladı. Bir mağdur, deneyimini paylaşarak cüzdanına 1.000 USDT eklediğini ve saldırıyı fark etmeden önce cüzdanının ele geçirildiğini belirtti. Eğer hırsız fonları hemen almış olsaydı, mağdur kaybı daha hızlı fark edebilirdi.
Açığın Kaynağı: UpdateAccountPermission Fonksiyonu
UpdateAccountPermission fonksiyonu, başlangıçta işlem güvenliğini artırmak amacıyla multisig benzeri kontroller sağlaması için tasarlanmıştı. Kullanıcıların, anahtarlar için roller atamasına ve işlemler için eşik belirlemesine olanak tanıyordu. Ancak bu sistem, saldırganların bir kullanıcının özel anahtarına erişmesi durumunda bir zafiyet halini alıyor. Bir cüzdan ele geçirildiğinde, saldırganlar kendi anahtarlarını ekleyerek, sahibinin bağımsız işlem yapmasını engelliyor.
Maalesef, cüzdanlar yeni anahtarların eklenmesi durumunda kullanıcılara bildirim göndermiyor, bu da cüzdanın ele geçirildiğine dair bir işaret bırakmıyor. Kullanıcı, işlem yapmaya çalışana kadar cüzdanının çalındığını fark etmiyor.
Kullanıcılar Kendilerini Nasıl Korumalı?
Güvenlik uzmanları, özel anahtar koruma ve hesap izinlerinin düzenli kontrol edilmesi gerektiğinin altını çiziyor. Özel anahtarların güvenli bir şekilde saklanması, tercihen çevrimdışı, ve asla güvenilmeyen kişilerle paylaşılmaması, bu tür saldırıların önlenmesinde kritik öneme sahiptir. Ayrıca, cüzdanlarda tutulan TRX miktarını minimumda tutmak da ek bir koruma sağlayabilir, çünkü UpdateAccountPermission fonksiyonu işlem başına 100 TRX ücret alır.
Bu saldırı, Tron kullanıcılarını etkilemeye devam ettikçe, sağlam güvenlik uygulamalarının ve güvenli cüzdan çözümlerinin sürekli geliştirilmesinin önemini bir kez daha gözler önüne seriyor.
Yasal Uyarı: Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi teşkil etmez. Kripto paralar ve hisse senetleri, özellikle mikro sermayeli şirketlerde, önemli oynaklık ve riske tabidir. Lütfen herhangi bir yatırım kararı vermeden önce kapsamlı bir araştırma yapın.
Leave a comment