• Para penyerang telah mengeksploitasi kerentanan baru di dompet Tron, dengan 2.130 dompet pada Q4 2024 saja, masing-masing kehilangan sekitar US$31,5 juta.
  • Metode serangan melibatkan pemblokiran transaksi yang sah sementara memungkinkan korban untuk secara tidak sadar menyetor lebih banyak dana.

Kerentanan yang baru diidentifikasi yang ditemukan pada dompet Tron telah menemukan bahwa lebih dari 14.500 dompet di platform tersebut mengekspos jutaan kepemilikan kripto. Menurut laporan perusahaan keamanan AMLBot, 2.130 dompet tersebut diduga telah disusupi pada Q4 2024 saja, masing-masing menyimpan sekitar US$31,5 juta.

Penipuan Dompet Kripto Tron

Alih-alih langsung menguras dompet, penyerang secara diam-diam mendapatkan kendali dan memblokir transaksi yang sah, membuat pemilik sebenarnya tidak menyadarinya. Penundaan deteksi ini memungkinkan korban untuk tanpa sadar menyetor lebih banyak dana ke dalam akun yang disusupi.

“Biasanya, korban bahkan tidak menyadari bahwa dompetnya hilang,” jelas Mykhailo Tiutin, CTO AMLBot. Salah satu pengguna yang terkena dampak mengungkapkan bagaimana dia telah menambahkan 1.000 USDT ke dompetnya tanpa menyadari bahwa dompet tersebut telah disusupi. “Jika pencuri segera mengambil semua uang saya, saya akan segera menyadari bahwa saya telah kehilangan dompet saya,” katanya, menurut laporan CoinTelegraph.

Kerentanan terletak pada transaksi UpdateAccountPermission milik Tron, yang merupakan fitur yang dirancang untuk membuat dompet lebih aman dengan menetapkan peran dan menetapkan ambang batas untuk otorisasi transaksi. Sebagai contoh, jika ambang batas transaksi adalah 10 dan dua kunci memiliki bobot masing-masing lima, maka kedua kunci tersebut harus menyetujui transaksi tersebut.

Akan tetapi, jika seorang penyerang mendapatkan sebuah kunci pribadi dari pemilik dompet, ia dapat menambahkan kuncinya sendiri ke akun tersebut dan mengkonfigurasinya untuk memenuhi ambang batas yang dibutuhkan. Hal ini, pada dasarnya, mengunci pemilik yang sah dari dompetnya.

“Dompet tidak memiliki notifikasi atau informasi apapun yang mengatakan bahwa seseorang telah menambahkan kunci lain ke dompet Anda. Sama sekali tidak ada indikasi bahwa dompet Anda hilang sampai Anda sendiri yang mengirim transaksi keluar,” kata Tiutin.

Setelah penguncian, pengguna tidak dapat melakukan banyak hal. “Serangan ini sangat mengkhawatirkan, karena tidak ada cara untuk memulihkan dana bagi pengguna karena kunci pribadi penyerang diperlukan untuk transaksi lebih lanjut,” kata Sattvik Kansal, salah satu pendiri Rome Protocol.

Meskipun kerentanan ini telah dieksploitasi, fungsi UpdateAccountPermission bermanfaat dalam banyak hal. Hal ini terutama membantu entitas bisnis dan organisasi untuk memiliki kontrol bersama atas dana mereka. Menggunakan persetujuan multi-tanda tangan meminimalkan transaksi yang tidak sah dan mendukung tata kelola yang terdesentralisasi.

Bergerak Untuk Meningkatkan Keamanan Dompet

Bukan sesuatu yang eksklusif untuk Tron adalah eksploitasi fungsi dompet. Faktanya, banyak pengguna Ethereum yang mengalami kerugian besar akibat penyalahgunaan fitur-fitur umum seperti “approve” dan “permit” Perusahaan keamanan Blockchain Scam Sniffer mencatat bahwa penipuan phishing mencapai US$9,38 juta pada November 2024, di mana US$7 juta di antaranya berasal dari Ethereum.

Mencegah serangan semacam ini dimulai dengan melindungi private key. Seperti yang dijelaskan oleh Axel Leloup, peneliti keamanan utama di Dowsers, “Pastikan kunci pribadi dan frasa mnemonik disimpan dengan aman, sebaiknya offline, dan jangan pernah dibagikan dengan pihak yang tidak dipercaya.”

Dalam satu contoh, kunci pribadi dalam dompet Tron yang terkena dampak tertanam dalam kode sumber langsung dari kontrak pintar selama pengujian, membuatnya sangat rentan. Eksposur yang rendah terhadap saldo dompet dapat membuat para penyerang semakin enggan, terutama karena fungsi UpdateAccountPermission membebankan biaya 100 TRX.