Une vulnérabilité récemment identifiée découverte sur les portefeuilles Tron a révélé que plus de 14 500 portefeuilles sur la plate-forme exposent des millions de dollars en avoirs cryptographiques. Selon le rapport de la société de sécurité AMLBot, 2 130 portefeuilles de ce type auraient été compromis au cours du seul quatrième trimestre 2024, chacun détenant environ 31,5 millions de dollars.
Arnaque au portefeuille crypto Tron
Au lieu de vider immédiatement les portefeuilles, les attaquants prennent secrètement le contrôle et bloquent les transactions légitimes, laissant les véritables propriétaires dans l’ignorance. Ce retard de détection permet aux victimes de déposer sans le savoir davantage de fonds sur des comptes compromis.
« En général, une victime ne réalise même pas que le portefeuille a disparu », a expliqué Mykhailo Tiutin, CTO d’AMLBot. Un utilisateur concerné a révélé comment il avait ajouté 1 000 USDT à son portefeuille sans se rendre compte que le portefeuille était déjà compromis. « Si le voleur avait immédiatement pris tout mon argent, j’aurais immédiatement réalisé que j’avais perdu mon portefeuille », a-t-il déclaré, selon un rapport de CoinTelegraph.
La vulnérabilité réside dans la transaction UpdateAccountPermission de Tron, une fonctionnalité conçue pour rendre les portefeuilles plus sécurisés en attribuant des rôles et en définissant des seuils d’autorisation de transaction. Par exemple, si le seuil d’une transaction est de 10 et que deux clés ont chacune un poids de cinq, alors les deux clés devront s’entendre sur la transaction.
Cependant, si un attaquant obtient la clé privée d’un propriétaire de portefeuille, il peut ajouter sa propre clé au compte et la configurer pour atteindre le seuil requis. En fait, cela empêche le propriétaire légitime d’accéder à son portefeuille.
«Les portefeuilles ne contiennent aucun type de notification ou d’information indiquant que quelqu’un a ajouté une autre clé à votre portefeuille. Rien n’indique que votre portefeuille a disparu jusqu’à ce que vous envoyiez vous-même une transaction sortante », a noté Tiutin.
Après le verrouillage, l’utilisateur ne peut plus faire grand-chose d’autre. « Cette attaque est particulièrement préoccupante, car il n’y a aucun moyen de récupérer des fonds pour l’utilisateur car la clé privée de l’attaquant est requise pour toute transaction ultérieure », a déclaré Sattvik Kansal, co-fondateur du protocole de Rome.
Bien que cette vulnérabilité ait été exploitée, la fonction de UpdateAccountPermission est bénéfique à bien des égards. Il est principalement utile aux entités commerciales et organisationnelles d’avoir un contrôle partagé sur leurs fonds. L’utilisation de l’approbation multi-signature minimise les transactions non autorisées et prend en charge la gouvernance décentralisée.
Déplacer pour améliorer la sécurité du portefeuille
L’exploitation des fonctionnalités du portefeuille n’est pas exclusive à Tron. En fait, de nombreux utilisateurs d’Ethereum ont subi des pertes substantielles en raison d’une mauvaise utilisation de fonctionnalités courantes telles que « approuver » et « autoriser ». La société de sécurité Blockchain Scam Sniffer a noté que les escroqueries par phishing représentaient 9,38 millions de dollars en novembre 2024, dont 7 millions de dollars provenaient d’Ethereum.
La prévention des attaques de cette nature commence par la protection des clés privées. Comme l’explique Axel Leloup, chercheur principal en sécurité chez Dowsers : « Assurez-vous que les clés privées et les phrases mnémoniques sont stockées en toute sécurité, de préférence hors ligne, et jamais partagées avec des parties non fiables. »
Dans un exemple, la clé privée d’un portefeuille Tron concerné a été intégrée dans le code source direct du contrat intelligent lors des tests, le rendant extrêmement vulnérable. Une faible exposition aux soldes des portefeuilles peut décourager davantage les attaquants, d’autant plus que la fonction UpdateAccountPermission facture des frais de 100 TRX.
