- Los atacantes han explotado una nueva vulnerabilidad en los monederos de Tron, con 2.130 monederos sólo en el cuarto trimestre de 2024, perdiendo aproximadamente 31,5 millones de dólares cada uno.
- El método de ataque consiste en bloquear transacciones legítimas al tiempo que permite a las víctimas depositar más fondos sin saberlo.
Una vulnerabilidad técnica en las carteras digitales de Tron expone activos en criptomonedas por valor de millones de dólares. El reporte de la empresa de seguridad AMLBot señala que en el último trimestre de 2024, 2.130 carteras resultaron comprometidas, cada una con aproximadamente 31,5 millones de dólares en activos digitales.
La vulnerabilidad en las carteras Tron
Los atacantes obtienen control de las carteras y bloquean las operaciones legítimas sin que los dueños lo detecten. Esta demora permite que las víctimas continúen depositando fondos en las cuentas afectadas.
«Normalmente, la víctima ni siquiera se da cuenta de que el monedero ha desaparecido», explica Mykhailo Tiutin, director de tecnología de AMLBot. Un usuario afectado reveló cómo había añadido 1.000 USDT a su monedero sin darse cuenta de que éste ya estaba comprometido. «Si el ladrón se hubiera llevado inmediatamente todo mi dinero, me habría dado cuenta de inmediato de que había perdido mi monedero», dijo, según un informe de CoinTelegraph.
El problema se encuentra en la transacción UpdateAccountPermission de Tron, una función que busca reforzar la seguridad mediante la asignación de roles y límites para autorizar transacciones. Por ejemplo, si una transacción requiere un umbral de 10 y dos claves tienen un peso de cinco cada una, ambas deben autorizar la operación.
Cuando un atacante obtiene la clave privada del propietario, puede añadir su propia clave y configurarla para cumplir el umbral necesario. Esto impide que el dueño legítimo acceda a su cartera.
«Los monederos no tienen ningún tipo de notificación o información que diga que alguien ha añadido otra clave a tu monedero. No hay absolutamente ninguna indicación de que tu monedero ha desaparecido hasta que tú mismo envías una transacción de salida», señaló Tiutin.
Tras el bloqueo, el usuario poco más puede hacer. «Este ataque es especialmente preocupante, ya que no hay forma de recuperar los fondos para el usuario porque la clave privada del atacante es necesaria para cualquier otra transacción», dijo Sattvik Kansal, cofundador de Rome Protocol.
Aunque esta vulnerabilidad ha sido explotada, la función de UpdateAccountPermission es beneficiosa en muchos sentidos. Principalmente, es útil para que las empresas y organizaciones tengan un control compartido de sus fondos. El uso de la aprobación multifirma minimiza las transacciones no autorizadas y apoya la gobernanza descentralizada.
Protección de carteras digitales
Los problemas de seguridad en carteras digitales no son exclusivos de Tron. Los usuarios de Ethereum han registrado pérdidas por el uso indebido de funciones como «aprobar» y «permitir». La firma Blockchain Scam Sniffer reportó que las estafas por phishing alcanzaron 9,38 millones de dólares en noviembre de 2024, con 7 millones provenientes de Ethereum.
Prevenir ataques de esta naturaleza empieza por salvaguardar las claves privadas. Como explicó Axel Leloup, investigador principal de seguridad de Dowsers: «Asegúrate de que las claves privadas y las frases mnemotécnicas se almacenan de forma segura, preferiblemente fuera de línea, y nunca se comparten con partes que no sean de confianza.»
En un caso documentado, la clave privada de una cartera Tron se incorporó al código fuente del contrato inteligente durante las pruebas, lo que creó una vulnerabilidad. Los bajos saldos en las carteras pueden reducir el interés de los atacantes, considerando que la función UpdateAccountPermission requiere una tarifa de 100 TRX.
