悪意のあるマルチサイン攻撃のリスクを回避するためのガイド
背景
以前のWeb3セキュリティ初心者ガイドのインストールでは、ウォレットのダウンロードや購入、公式ウェブサイトの特定、ウォレットの真正性の検証、秘密鍵/シードフレーズの漏洩の危険性に関連するリスクについて説明しました。「Not your keys, not your coins」という格言は、秘密鍵を管理することの重要性を強調していますが、秘密鍵/シードフレーズを持っているだけでは、資産の管理が保証されないシナリオがあります。たとえば、ウォレットが悪意を持ってマルチ署名されている可能性があります。MistTrackの盗まれたフォームから収集されたデータに基づいて、一部のユーザーは、悪意のあるマルチシグ攻撃の後、ウォレットに残高があるのに資金を送金できない理由について困惑していました。今月号では、TRONウォレットを使用して、マルチシグのメカニズム、典型的なハッカーの戦術、悪意のあるマルチシグ攻撃を防ぐための戦略など、マルチシグニチャーフィッシングの概念を説明します。
マルチサインのメカニズム
マルチ署名メカニズム
まず、マルチシグネチャーの概要について簡単に説明します。マルチシグネチャー機構は、複数のユーザーが共同で単一のデジタルアセットウォレットへのアクセスを管理し制御することにより、ウォレットのセキュリティを強化するために設計されています。つまり、一部の管理者がプライベートキー/シードフレーズを紛失または公開しても、ウォレットの資産は安全に保たれる可能性があります。
TRONのマルチ署名許可システムは、Owner、Witness、およびActiveの3つのタイプの許可に基づいて構築されており、各々が異なる目的を果たしています。
オーナー許可:
- すべての契約と操作を実行するための最高レベルの権限を付与します。
- この権限の所有者のみが他の権限を変更できます。これには、他の署名者の追加や削除も含まれます。
- デフォルトでは、新しく作成されたアカウントには所有者権限があります。
証人の許可:
この権限は主にスーパー代表に関連し、アカウントがスーパー代表の選挙と投票プロセスに参加し、関連する操作を管理できるようにします。
アクティブ権限:
資金の移動やスマートコントラクトの呼び出しなどの日常的な操作に使用されます。この権限は、所有者権限によって設定および調整することができ、通常、特定のタスクを実行するためのアカウントに割り当てられます。これには、許可されたアクションのコレクション(例:TRXの転送、資産のステーキング)が含まれます。
新しいアカウントが作成されると、自動的にOwner権限(最高権限)が付与されます。アカウント所有者はその後、権限構造を調整し、承認するアドレスを決定し、これらのアドレスの重みを設定し、閾値を構成することができます。閾値は特定のアクションを実行するために必要な署名の数を表します。下の図では、閾値2は、アクションを実行するために、承認されたアドレスのうち2つが署名する必要があることを意味します。
(https://support.tronscan.org/hc/article_attachments/29939335264665)
悪意のあるマルチサインのプロセス
ハッカーがユーザーの秘密鍵/シードフレーズを入手し、ユーザーがマルチ署名メカニズムを採用していない場合(つまり、ウォレットはユーザーだけによって制御されている)、ハッカーは自分のアドレスに所有者/アクティブな権限を付与するか、ユーザーの所有者/アクティブな権限を自分に移すことができます。これらの行動はしばしば悪意のあるマルチ署名攻撃と呼ばれますが、ユーザーがまだ所有者/アクティブな権限を保持しているかどうかに基づいて区別することができます。
マルチ署名メカニズムの悪用:ハッカーが自身に所有者/アクティブ権限を付与し、ユーザーの権限がそのままである場合、アカウントはユーザーとハッカーの両方によって共同管理されます(閾値2)。ユーザーとハッカーのアドレスの重みは1です。ユーザーは秘密鍵/シードフレーズを所有し、所有者/アクティブ権限を持っていても、トランザクションではユーザーとハッカーのアドレスの両方から署名が必要なため、資産を移動することはできません。
マルチ署名アカウントは、資産の移動を承認するために複数の署名を必要としますが、ウォレットへの入金には必要ありません。ユーザーが定期的にアカウントの権限を確認しないか、最近に移動を行っていない場合、ウォレットの権限の変更に気付かない可能性があり、持続的なリスクが発生する可能性があります。ハッカーは、アカウントが大量の資産を蓄積するまで待ち、その後大規模な盗難を行うことでこれを悪用するかもしれません。
TRONの許可管理デザインを使用する:別のシナリオでは、ハッカーがTRONの許可管理設計を活用し、ユーザーの所有者/アクティブな許可を直接自分のアドレスに移動させることがあります(閾値は1のまま)。これにより、ユーザーはこれらの許可と「投票権」を失うことになります。この場合、ハッカーは資産転送を防ぐためにマルチサイン管理メカニズムを使用していませんが、一般的な用語では依然として悪意のあるマルチサインと呼ばれています。
両方のシナリオは同じ結果につながります:ユーザーが所有者/アクティブ権限を保持するかどうかに関係なく、彼らはアカウントの効果的な制御を失い、ハッカーが完全な制御権を得ます。これには、権限の変更や資産の移転などが含まれます。
悪意のあるマルチ署名攻撃の一般的な原因
MistTrackが収集した盗まれたデータに基づいて、悪意のあるマルチ署名攻撃のいくつかの一般的な原因を特定しました。次の状況に遭遇した場合は注意してください:
1.誤ったソースからのダウンロード:Telegram、Twitter、または知人から送信された偽の公式リンクをクリックすると、偽造ウォレットやその後の秘密鍵/シードフレーズの漏洩、悪意のあるマルチシグ攻撃につながる可能性があります。
2.フィッシングサイトにプライベートキー/シードフレーズを入力すること:燃料カード、ギフトカード、またはVPNサービスを提供するフィッシングウェブサイトで秘密鍵/シードフレーズを入力し、ウォレットアカウントの管理を失うことにつながる。
3.OTC取引:オーバーザカウンター取引中に、誰かが秘密鍵/シードフレーズを入手したり、他の手段でアカウント権限を取得した場合、ウォレットが悪意のある複数署名され、資産の損失につながる可能性があります。
4.詐欺オファー:詐欺師は、秘密鍵/シードフレーズを提供し、ウォレットから資産を引き出せないと主張し、助けてくれた場合に報酬を提示する場合があります。ウォレットに資金があるにもかかわらず、詐欺師によって引き出し権利が別のアドレスに移転されている場合は、引き出すことができません。
5.TRON上のフィッシングリンク:TRON上でフィッシングリンクをクリックし、悪意のあるデータに署名するユーザーがいるという、あまり一般的でない状況があり、それによって悪意のあるマルチサイン攻撃が引き起こされることがあります。
要約
このガイドでは、TRONウォレットを使用してマルチサインの仕組み、悪意のあるマルチサイン攻撃のプロセスと戦術、およびそれらを回避するための戦略について説明しています。マルチサインの仕組みをより明確に理解し、悪意のあるマルチサイン攻撃を防ぐ能力を高めることを願っています。また、初心者のユーザーが操作ミスや誤解によりウォレットをマルチサインに誤って設定する場合も特別なケースがあり、送金には複数の署名が必要となります。そのような場合、ユーザーはマルチサインの要件を満たすか、Owner/Active権限を単一のアドレスに付与して単一署名の機能を復元する必要があります。
最後に、SlowMistセキュリティチームは、ユーザーが定期的にアカウントの権限をチェックし、異常がないかを確認することをお勧めします。公式のソース(当社の指示に従って)からウォレットをダウンロードしてください。偽のウォレットとプライベートキー/シードフレーズの漏洩に関するガイド)、不明なリンクをクリックしないでください。また、注意深くプライベートキー/シードフレーズを入力しないでください。さらに、ウイルス対策ソフトウェア(カスペルスキー、AVGなど)やフィッシングリスクブロッカー(Scam Snifferなど)をインストールして、デバイスのセキュリティを向上させてください。
免責事項:
- この記事は[から転載されましたSlowMist], すべての著作権は元の著者に帰属します [SlomMistセキュリティチーム]. If there are objections to this reprint, please contact the Gate Learnチームはそれを迅速に処理します。
- 免責事項:この記事で表明された見解や意見は著者個人のものであり、投資アドバイスを提供するものではありません。
- 記事の翻訳は、Gate Learnチームによって他の言語に行われます。特に明記されていない限り、翻訳された記事の複製、配布、または盗作は禁止されています。
関連記事
ソラナとは何ですか?
悪意のあるマルチサイン攻撃のリスクを回避するためのガイド
背景
以前のWeb3セキュリティ初心者ガイドのインストールでは、ウォレットのダウンロードや購入、公式ウェブサイトの特定、ウォレットの真正性の検証、秘密鍵/シードフレーズの漏洩の危険性に関連するリスクについて説明しました。「Not your keys, not your coins」という格言は、秘密鍵を管理することの重要性を強調していますが、秘密鍵/シードフレーズを持っているだけでは、資産の管理が保証されないシナリオがあります。たとえば、ウォレットが悪意を持ってマルチ署名されている可能性があります。MistTrackの盗まれたフォームから収集されたデータに基づいて、一部のユーザーは、悪意のあるマルチシグ攻撃の後、ウォレットに残高があるのに資金を送金できない理由について困惑していました。今月号では、TRONウォレットを使用して、マルチシグのメカニズム、典型的なハッカーの戦術、悪意のあるマルチシグ攻撃を防ぐための戦略など、マルチシグニチャーフィッシングの概念を説明します。
マルチサインのメカニズム
マルチ署名メカニズム
まず、マルチシグネチャーの概要について簡単に説明します。マルチシグネチャー機構は、複数のユーザーが共同で単一のデジタルアセットウォレットへのアクセスを管理し制御することにより、ウォレットのセキュリティを強化するために設計されています。つまり、一部の管理者がプライベートキー/シードフレーズを紛失または公開しても、ウォレットの資産は安全に保たれる可能性があります。
TRONのマルチ署名許可システムは、Owner、Witness、およびActiveの3つのタイプの許可に基づいて構築されており、各々が異なる目的を果たしています。
オーナー許可:
- すべての契約と操作を実行するための最高レベルの権限を付与します。
- この権限の所有者のみが他の権限を変更できます。これには、他の署名者の追加や削除も含まれます。
- デフォルトでは、新しく作成されたアカウントには所有者権限があります。
証人の許可:
この権限は主にスーパー代表に関連し、アカウントがスーパー代表の選挙と投票プロセスに参加し、関連する操作を管理できるようにします。
アクティブ権限:
資金の移動やスマートコントラクトの呼び出しなどの日常的な操作に使用されます。この権限は、所有者権限によって設定および調整することができ、通常、特定のタスクを実行するためのアカウントに割り当てられます。これには、許可されたアクションのコレクション(例:TRXの転送、資産のステーキング)が含まれます。
新しいアカウントが作成されると、自動的にOwner権限(最高権限)が付与されます。アカウント所有者はその後、権限構造を調整し、承認するアドレスを決定し、これらのアドレスの重みを設定し、閾値を構成することができます。閾値は特定のアクションを実行するために必要な署名の数を表します。下の図では、閾値2は、アクションを実行するために、承認されたアドレスのうち2つが署名する必要があることを意味します。
(https://support.tronscan.org/hc/article_attachments/29939335264665)
悪意のあるマルチサインのプロセス
ハッカーがユーザーの秘密鍵/シードフレーズを入手し、ユーザーがマルチ署名メカニズムを採用していない場合(つまり、ウォレットはユーザーだけによって制御されている)、ハッカーは自分のアドレスに所有者/アクティブな権限を付与するか、ユーザーの所有者/アクティブな権限を自分に移すことができます。これらの行動はしばしば悪意のあるマルチ署名攻撃と呼ばれますが、ユーザーがまだ所有者/アクティブな権限を保持しているかどうかに基づいて区別することができます。
マルチ署名メカニズムの悪用:ハッカーが自身に所有者/アクティブ権限を付与し、ユーザーの権限がそのままである場合、アカウントはユーザーとハッカーの両方によって共同管理されます(閾値2)。ユーザーとハッカーのアドレスの重みは1です。ユーザーは秘密鍵/シードフレーズを所有し、所有者/アクティブ権限を持っていても、トランザクションではユーザーとハッカーのアドレスの両方から署名が必要なため、資産を移動することはできません。
マルチ署名アカウントは、資産の移動を承認するために複数の署名を必要としますが、ウォレットへの入金には必要ありません。ユーザーが定期的にアカウントの権限を確認しないか、最近に移動を行っていない場合、ウォレットの権限の変更に気付かない可能性があり、持続的なリスクが発生する可能性があります。ハッカーは、アカウントが大量の資産を蓄積するまで待ち、その後大規模な盗難を行うことでこれを悪用するかもしれません。
TRONの許可管理デザインを使用する:別のシナリオでは、ハッカーがTRONの許可管理設計を活用し、ユーザーの所有者/アクティブな許可を直接自分のアドレスに移動させることがあります(閾値は1のまま)。これにより、ユーザーはこれらの許可と「投票権」を失うことになります。この場合、ハッカーは資産転送を防ぐためにマルチサイン管理メカニズムを使用していませんが、一般的な用語では依然として悪意のあるマルチサインと呼ばれています。
両方のシナリオは同じ結果につながります:ユーザーが所有者/アクティブ権限を保持するかどうかに関係なく、彼らはアカウントの効果的な制御を失い、ハッカーが完全な制御権を得ます。これには、権限の変更や資産の移転などが含まれます。
悪意のあるマルチ署名攻撃の一般的な原因
MistTrackが収集した盗まれたデータに基づいて、悪意のあるマルチ署名攻撃のいくつかの一般的な原因を特定しました。次の状況に遭遇した場合は注意してください:
1.誤ったソースからのダウンロード:Telegram、Twitter、または知人から送信された偽の公式リンクをクリックすると、偽造ウォレットやその後の秘密鍵/シードフレーズの漏洩、悪意のあるマルチシグ攻撃につながる可能性があります。
2.フィッシングサイトにプライベートキー/シードフレーズを入力すること:燃料カード、ギフトカード、またはVPNサービスを提供するフィッシングウェブサイトで秘密鍵/シードフレーズを入力し、ウォレットアカウントの管理を失うことにつながる。
3.OTC取引:オーバーザカウンター取引中に、誰かが秘密鍵/シードフレーズを入手したり、他の手段でアカウント権限を取得した場合、ウォレットが悪意のある複数署名され、資産の損失につながる可能性があります。
4.詐欺オファー:詐欺師は、秘密鍵/シードフレーズを提供し、ウォレットから資産を引き出せないと主張し、助けてくれた場合に報酬を提示する場合があります。ウォレットに資金があるにもかかわらず、詐欺師によって引き出し権利が別のアドレスに移転されている場合は、引き出すことができません。
5.TRON上のフィッシングリンク:TRON上でフィッシングリンクをクリックし、悪意のあるデータに署名するユーザーがいるという、あまり一般的でない状況があり、それによって悪意のあるマルチサイン攻撃が引き起こされることがあります。
要約
このガイドでは、TRONウォレットを使用してマルチサインの仕組み、悪意のあるマルチサイン攻撃のプロセスと戦術、およびそれらを回避するための戦略について説明しています。マルチサインの仕組みをより明確に理解し、悪意のあるマルチサイン攻撃を防ぐ能力を高めることを願っています。また、初心者のユーザーが操作ミスや誤解によりウォレットをマルチサインに誤って設定する場合も特別なケースがあり、送金には複数の署名が必要となります。そのような場合、ユーザーはマルチサインの要件を満たすか、Owner/Active権限を単一のアドレスに付与して単一署名の機能を復元する必要があります。
最後に、SlowMistセキュリティチームは、ユーザーが定期的にアカウントの権限をチェックし、異常がないかを確認することをお勧めします。公式のソース(当社の指示に従って)からウォレットをダウンロードしてください。偽のウォレットとプライベートキー/シードフレーズの漏洩に関するガイド)、不明なリンクをクリックしないでください。また、注意深くプライベートキー/シードフレーズを入力しないでください。さらに、ウイルス対策ソフトウェア(カスペルスキー、AVGなど)やフィッシングリスクブロッカー(Scam Snifferなど)をインストールして、デバイスのセキュリティを向上させてください。
免責事項:
- この記事は[から転載されましたSlowMist], すべての著作権は元の著者に帰属します [SlomMistセキュリティチーム]. If there are objections to this reprint, please contact the Gate Learnチームはそれを迅速に処理します。
- 免責事項:この記事で表明された見解や意見は著者個人のものであり、投資アドバイスを提供するものではありません。
- 記事の翻訳は、Gate Learnチームによって他の言語に行われます。特に明記されていない限り、翻訳された記事の複製、配布、または盗作は禁止されています。
関連記事