背景
在上一期Web3安全指南中,我们讨论了下载或购买钱包时的风险,如何找到官方网站、验证钱包的真实性以及私钥/助记词泄露的危险。 “非我的私钥,非我的币”强调了控制私钥的重要性。
然而,即使拥有私钥或助记词,也不能保证对资产的控制权,例如当钱包被恶意多签设置时就会这样。
MistTrack的被盗资金报告表明,一些用户发现他们的钱包中有资金,但由于恶意的多签配置,无法进行转账。在本指南中,我们以TRON钱包为例,解释了多签钓鱼诈骗的概念、多签系统的运作机制、黑客常用的手段以及防止钱包被恶意配置为多签设置的策略。
多方签名机制
多方签名(multisig)机制旨在通过允许多个用户共同管理和控制数字资产钱包的访问,从而增强钱包的安全性。这种设置意味着即使一些管理者丢失或泄露了私钥/助记词,钱包中的资产仍然可能是安全的。
TRON的多签名系统包括三个不同的权限级别:Owner(拥有者)、Witness(见证者)和Active(活动者),每个级别具有特定的功能和用途。
拥有者权限:
拥有最高的权限级别,能够执行所有合约和操作。
只有拥有者可以修改其他权限,包括添加或删除签名者。
新创建的账户默认被分配为拥有者权限。
见证者权限:
主要与超级代表相关,此权限允许账户参与超级代表的选举和投票过程,并管理相关操作。
活动者权限:
用于日常操作,如转账和智能合约执行。拥有者可以设置和修改这些权限,通常将其分配给需要执行特定任务的账户。活动者权限涵盖了一系列授权操作,如TRX转账和资产质押。 如前所述,新账户的地址默认会自动获得拥有者权限(最高级别)。拥有者可以调整账户的权限结构,决定哪些地址获得权限、权限的权重以及设置阈值。阈值决定了执行特定操作所需的签名权重。例如,如果阈值设置为2,而三个授权地址的权重均为1,则至少需要两个签署者的批准才能执行操作。
恶意多签过程
当黑客获取了用户的私钥或助记词,而用户没有实现多签机制(即钱包完全由用户控制)时,黑客可以将自己授予Owner(拥有者)/Active(活动者)权限,或将用户的Owner/Active权限转移到自己的地址。这些行为通常被称为恶意多签,但这一术语可以有广泛的定义。实际上,这种情况可以根据用户是否仍保留任何Owner/Active权限来进行分类:
多签机制被利用
在下面描述的情境中,用户的Owner/Active权限没有被移除,而是黑客将自己的地址添加为授权的Owner/Active方。现在,该账户由用户和黑客共同控制,阈值设置为2。用户和黑客的地址各自拥有权重为1。尽管用户拥有私钥/助记词并保留Owner/Active权限,他们仍然无法转移资产。这是因为任何转账请求都需要用户和黑客的批准,因为操作需要两个签名才能继续进行。
尽管从多签钱包中转移资产需要多个签名,但向钱包中存入资金并不需要。如果用户不定期检查账户权限或最近没有进行转账,他们可能不会注意到钱包权限的变化,从而导致长期损失。如果钱包中仅有少量资产,黑客可能会等待账户积累更多资产后再一次性盗取所有资金。
利用TRON的权限管理系统
在另一种情况下,黑客利用TRON的权限管理系统,将用户的Owner(拥有者)/Active(活动者)权限直接转移到黑客的地址,阈值仍设置为1。这一行为剥夺了用户的Owner/Active权限,有效地移除了他们对账户的控制,包括“投票权”。尽管这在技术上不算恶意多签,但通常被称为恶意多签。
无论用户是否保留任何Owner/Active权限,这两种情况都会导致他们实际失去对账户的控制。黑客现在拥有最高权限,可以更改账户设置并转移资产,导致合法所有者无法管理他们的钱包。
恶意多签攻击的途径
根据MistTrack的被盗资金报告,我们识别出几种常见的恶意多签攻击原因。用户应在以下情况下保持警惕:
下载虚假钱包:用户可能通过点击Telegram、Twitter或其他来源发送的虚假网站链接下载虚假钱包。这可能导致私钥或助记词泄露,从而引发恶意多签攻击。
在钓鱼网站输入私钥:在提供能量卡、礼品卡或VPN等服务的钓鱼网站上输入私钥或助记词的用户,可能会失去对钱包的控制。
OTC交易:在场外(OTC)交易过程中,黑客可能截获或以其他方式获取用户的私钥或权限,从而进行恶意多签攻击。
涉及私钥的诈骗:诈骗者可能提供一个私钥,声称无法提取资产,并提供奖励以获取帮助。尽管相关钱包似乎有资金,但提取权限被配置到另一个地址,导致无法进行转账。
TRON上的钓鱼链接:用户可能点击TRON上的钓鱼链接并签署恶意数据,从而导致恶意多签设置。
结语
在本指南中,我们以TRON钱包为例,解释了多签机制、黑客如何进行恶意多签攻击及其常用手段。提供这些信息都是为了更好的理解这种风险,帮助提高防范恶意多签攻击的能力。此外,一些用户,特别是新手,可能会不小心将钱包配置为多签,从而需要多个签名才能进行转账。在这种情况下,用户需要满足多签要求,或将Owner(拥有者)/Active(活动者)权限仅分配给一个地址,以恢复单签设置。
声明:本网站所有相关资料如有侵权请联系站长删除,资料仅供用户学习及研究之用,不构成任何投资建议!
相关推荐
当前 Web3 游戏领域面临诸多挑战,比如“边玩边赚”模式容易导致开发者与玩家间利益不一致,难以实现持续发展。而 Web2 游戏中的“苹果税”垄断现象,不仅限制了用户发挥创意的空间,还通过控制用户数据阻碍了广告的投放。此外,Web3 游戏在分析玩家行为意图时,往往缺乏准确性,大多依赖于不确定的数据,这对游戏设计和盈利...
Japan Open Chain(简称JOC)致力于提供一个高性能、低成本、法定合规的区块链平台,解决现有公链平台在可扩展性、交易速度、法律合规性等方面的问题。JOC采用了Ethereum完全兼容的共识机制,同时在性能上进行了优化,确保它在满足企业和个人的业务需求的同时,提供了安全、稳定、可扩展的基础设施。什么是Japan Open Chain...
随着区块链技术在各个领域的应用不断深入,去中心化科学(DeSci)作为一个新兴的领域,正吸引越来越多的关注,尤其在Binance Labs宣布投资DeSci项目——BIO Protocol后。那么,BIO Protocol究竟是什么?它是如何通过创新的机制推动科学研究的进步?什么是BIO Protocol?BIO Protocol是一个去中心化科学(DeSci)协议,旨在为...
长期以来,比特币可扩展性格局一直依赖于将安全性和需求转移到链下、比特币之外的解决方案。Citrea 将通过零知识证明来全面扩展比特币,从而确保比特币网络内的链上可验证性和数据可用性,从而改变这一现实。这种方法使 Citrea 成为第一个能够在不损害比特币安全性和改变其共识规则的情况下实现更复杂应用程序的扩展解决方案...
网站所有相关资料如有侵权请联系站长删除,资料仅供用户学习及研究之用,不构成任何投资建议!| 联系邮箱:2751882518@qq.com 请注明来意! Copyright © 2024 Tuopo All Rights Reserved. XML地图
