- Des attaquants ont exploité une nouvelle vulnérabilité dans les portefeuilles Tron, avec 2 130 portefeuilles au cours du seul quatrième trimestre 2024, perdant environ 31,5 millions de dollars chacun.
- La méthode d’attaque consiste à bloquer les transactions légitimes tout en permettant aux victimes de déposer à leur insu davantage de fonds.
Une vulnérabilité récemment identifiée sur les portefeuilles Tron a révélé que plus de 14 500 portefeuilles sur la plateforme exposent des millions de crypto-monnaies. Selon le rapport de la société de sécurité AMLBot, 2 130 portefeuilles de ce type auraient été compromis au cours du seul quatrième trimestre 2024, chacun d’entre eux détenant environ 31,5 millions de dollars.
Escroquerie au portefeuille de crypto-monnaie Tron
Au lieu de vider immédiatement les portefeuilles, les attaquants prennent secrètement le contrôle et bloquent les transactions légitimes, laissant les propriétaires réels dans l’ignorance. Ce retard dans la détection permet aux victimes de déposer à leur insu davantage de fonds sur les comptes compromis.
« Généralement, la victime ne se rend même pas compte que son portefeuille a disparu », explique Mykhailo Tiutin, directeur technique d’AMLBot. Un utilisateur touché a révélé qu’il avait ajouté 1 000 USDT à son portefeuille sans s’apercevoir que celui-ci était déjà compromis. « Si le voleur avait immédiatement emporté tout mon argent, j’aurais immédiatement réalisé que j’avais perdu mon portefeuille », a-t-il déclaré, selon un rapport de CoinTelegraph.
La vulnérabilité réside dans la transaction UpdateAccountPermission de Tron, qui est une fonctionnalité conçue pour rendre les portefeuilles plus sûrs en attribuant des rôles et en fixant des seuils pour l’autorisation des transactions. Par exemple, si le seuil d’une transaction est de 10 et que deux clés ont un poids de 5 chacune, les deux clés devront se mettre d’accord sur la transaction.
Toutefois, si un pirate obtient la clé privée du propriétaire d’un portefeuille, il peut ajouter sa propre clé au compte et la configurer de manière à ce qu’elle atteigne le seuil requis. Cela a pour effet d’exclure le propriétaire légitime de son portefeuille.
« Les portefeuilles ne disposent d’aucun type de notification ou d’information indiquant que quelqu’un a ajouté une autre clé à votre portefeuille. Il n’y a absolument aucune indication que votre portefeuille a disparu jusqu’à ce que vous envoyiez vous-même une transaction sortante », a fait remarquer M. Tiutin.
Après le verrouillage, l’utilisateur ne peut plus faire grand-chose. « Cette attaque est particulièrement préoccupante, car il n’y a aucun moyen de récupérer les fonds de l’utilisateur, la clé privée de l’attaquant étant nécessaire pour toute transaction ultérieure », a déclaré Sattvik Kansal, cofondateur de Rome Protocol.
Bien que cette vulnérabilité ait été exploitée, la fonction UpdateAccountPermission est bénéfique à bien des égards. Elle est surtout utile aux entreprises et aux organisations qui ont un contrôle partagé sur leurs fonds. L’utilisation de l’approbation multi-signature minimise les transactions non autorisées et soutient la gouvernance décentralisée.
Améliorer la sécurité des portefeuilles
L’exploitation des fonctionnalités des portefeuilles n’est pas une exclusivité de Tron. En fait, de nombreux utilisateurs d’Ethereum ont subi des pertes substantielles en raison de l’utilisation abusive de fonctions courantes telles que « approuver » et « permettre ».La société de sécurité blockchain Scam Sniffer a noté que les escroqueries par hameçonnage représentaient 9,38 millions de dollars en novembre 2024, dont 7 millions provenaient d’Ethereum.
La prévention des attaques de cette nature commence par la protection des clés privées. Comme l’explique Axel Leloup, chercheur principal en sécurité chez Dowsers, « Assurez-vous que les clés privées et les phrases mnémoniques sont stockées en toute sécurité, de préférence hors ligne, et qu’elles ne sont jamais partagées avec des parties non fiables. »
Dans un exemple, la clé privée d’un portefeuille Tron affecté a été intégrée dans le code source direct du contrat intelligent pendant les tests, ce qui l’a rendu extrêmement vulnérable. La faible exposition aux soldes des portefeuilles peut décourager davantage les attaquants, d’autant plus que la fonction UpdateAccountPermission est payante (100 TRX).
