Исследователи из компании AMLBot предупредили об опасной уязвимости в криптокошельках сети Tron, которая позволяет злоумышленникам получать полный контроль над средствами пользователей. Эксплуатация уязвимости связана с функцией UpdateAccountPermission, предназначенной для управления правами доступа. Атакующие, получив доступ к приватному ключу, могут добавить свой ключ в кошелёк, настроить пороги для транзакций и заблокировать легитимные операции. Владелец при этом не получает уведомлений о изменениях и узнаёт о компрометации только при попытке перевода средств.
По данным AMLBot, только в четвёртом квартале 2024 года атакам подверглись примерно 2130 кошельков, а потенциально под угрозой находятся около 14 545 пользователей. После компрометации восстановить контроль над кошельком практически невозможно без доступа к приватному ключу злоумышленника, что делает потери необратимыми. Единственной мерой для пользователей является прекращение пополнения скомпрометированного адреса.
Параллельно кибербезопасности угрожает новый фишинговый инструментарий AngelX, который, как сообщает компания Blockaid, активно используется для опустошения кошельков в сетях TON и Tron. Этот инструмент является развитием печально известного Angel Drainer, ответственного за хищения на сумму более $25 млн. С 31 августа AngelX был задействован в более чем 150 фишинговых атаках, а злоумышленники развернули с его помощью около 300 вредоносных децентрализованных приложений (dApps).
Эксперты отмечают, что новые блокчейны, такие как TON и Tron, становятся лёгкой мишенью из-за менее развитых инструментов безопасности и меньшего сообщества, отслеживающего угрозы. Несмотря на повышенную скрытность и улучшенный интерфейс AngelX, раннее обнаружение со стороны Blockaid позволило защитить активы на сумму около $400 000.
Эти события происходят на фоне общей тревожной статистики: по данным CertiK, в 2024 году потери от взломов и мошенничеств в криптосекторе превысили $2,3 млрд, причём атаки, связанные с компрометацией приватных ключей, выросли на 75% по сравнению с 2023 годом. Специалисты рекомендуют пользователям надёжно хранить приватные ключи, не делиться конфиденциальной информацией в сети и регулярно проверять настройки разрешений своих аккаунтов.
