คู่มือสำหรับมือใหม่เกี่ยวกับความปลอดภัยของ Web3: ความเสี่ยงที่กระเป๋าถูกเซ็นรับที่มีความอันตราย

มือใหม่9/12/2024, 2:42:43 PM
ในคู่มือนี้ เราใช้กระเป๋า TRON เป็นตัวอย่างเพื่ออธิบายแนวคิดของการล่องลอยหลายลายมือ กลไกของระบบหลายลายมือ ยุทธวิธีทั่วไปที่ใช้โดยแฮ็กเกอร์ และกลยุทธ์เพื่อป้องกันให้กระเป๋าของคุณไม่ถูกกำหนดค่าอย่างอันตรายด้วยการตั้งค่าหลายลายมืออย่างทรมาน

พื้นหลัง

ในภาคก่อนหน้าของ Web3 Security Guide เราได้พูดถึงความเสี่ยงที่เกี่ยวข้องกับการดาวน์โหลดหรือซื้อกระเป๋าเงินวิธีค้นหาเว็บไซต์อย่างเป็นทางการวิธีการตรวจสอบความถูกต้องของกระเป๋าเงินและอันตรายจากการรั่วไหลของคีย์ส่วนตัว / วลีเมล็ดพันธุ์ วลี "ไม่ใช่กุญแจของคุณไม่ใช่เหรียญของคุณ" เน้นความสําคัญของการควบคุมคีย์ส่วนตัวของคุณ อย่างไรก็ตามมีบางสถานการณ์ที่แม้แต่การมีคีย์ส่วนตัวหรือวลีเมล็ดพันธุ์ก็ไม่ได้รับประกันการควบคุมทรัพย์สินของคุณเช่นเมื่อกระเป๋าเงินถูกบุกรุกโดยการตั้งค่าหลายลายเซ็นที่เป็นอันตราย

จากข้อมูลที่รวบรวมจากรายงานเงินที่ถูกขโมยของ MistTrack ผู้ใช้บางคนพบว่ากระเป๋าเงินของพวกเขามีเงิน แต่พวกเขาไม่สามารถโอนได้เนื่องจากการกําหนดค่าหลายลายเซ็นที่เป็นอันตราย ในคู่มือนี้เราใช้กระเป๋าเงิน TRON เป็นตัวอย่างเพื่ออธิบายแนวคิดของ multisignature phishing กลไกของระบบ multisignature กลยุทธ์ทั่วไปที่แฮกเกอร์ใช้และกลยุทธ์เพื่อป้องกันไม่ให้กระเป๋าเงินของคุณถูกกําหนดค่าโดยมีเจตนาร้ายด้วยการตั้งค่าหลายลายเซ็น

กลไกลายละเอียด

กลไกหลายลายเซ็น (multisig) ถูกออกแบบเพื่อเสริมความปลอดภัยของกระเป๋าเงินดิจิทัลโดยอนุญาตให้ผู้ใช้หลายคนร่วมกันจัดการและควบคุมการเข้าถึงกระเป๋าเงินดิจิทัล การตั้งค่านี้หมายความว่า แม้ว่าบางผู้จัดการจะสูญหายหรือรั่วไหลกุญแจส่วนตัว/ประโยคเมล็ดพันธุ์ ทรัพย์สินภายในกระเป๋าเงินอาจยังคงปลอดภัย

ระบบลายเซ็นหลายรายการของ TRON ประกอบด้วยสามระดับการอนุญาตที่แตกต่างกัน: เจ้าของ, พยาน, และใช้งาน แต่ละระดับมีหน้าที่และวัตถุประสงค์ที่เฉพาะเจาะจง

สิทธิ์ของเจ้าของ:

  • ถือบทบาทที่สำคัญที่สุด สามารถดำเนินการทั้งหมดของสัญญาและการดำเนินงาน

  • เฉพาะเจ้าของเท่านั้นที่สามารถแก้ไขสิทธิ์อื่น ๆ ได้ รวมถึงการเพิ่มหรือลบผู้เซ็นชื่อ

  • เมื่อสร้างบัญชีใหม่ บัญชีเองจะได้รับสิทธิ์เป็นเจ้าของโดยค่าเริ่มต้น

การอนุญาตผู้เห็นพยาน:

  • เกี่ยวข้องโดยส่วนใหญ่กับตัวแทนพิเศษ การอนุญาตนี้ช่วยให้บัญชีสามารถเข้าร่วมกระบวนการเลือกตั้งและลงคะแนนสำหรับตัวแทนพิเศษ และจัดการดำเนินการที่เกี่ยวข้องกับพวกเขา

สิทธิ์ที่ใช้งานอยู่:

  • ใช้สำหรับการดำเนินงานประจำวัน เช่น การโอนเงินและการดำเนินการสมาร์ทคอนแทรกต์ เจ้าของสามารถตั้งค่าและแก้ไขสิทธิ์เหล่านี้ โดยทั่วไปจะมอบหมายให้บัญชีที่ต้องการทำงานที่เฉพาะเจาะจง สิทธิ์ที่ใช้งานอยู่รวมถึงช่วงของการดำเนินการที่ได้รับอนุญาต เช่น การโอน TRX และการจ่ายเงิน

เหมือนกับที่กล่าวถึงไว้ตอนแรก ที่อยู่ของบัญชีใหม่จะได้รับสิทธิ์เจ้าของ (ระดับสูงสุด) โดยอัตโนมัติตามค่าเริ่มต้น จากนั้นเจ้าของสามารถปรับโครงสร้างสิทธิ์ของบัญชีได้ ตัดสินใจว่าจะให้ที่อยู่ใดได้รับสิทธิ์ น้ำหนักของสิทธิ์เหล่านี้ และกำหนดเกณฑ์ขั้นต่ำ ช่วงเกณฑ์กำหนดค่าน้ำหนักที่จำเป็นต้องมีในการเซ็นต์เซ็นต์เพื่อดำเนินการบางอย่าง ตัวอย่างเช่น ถ้ากำหนดเกณฑ์ขั้นต่ำเป็น 2 และแต่ละที่อยู่ที่ได้รับอนุญาตมีน้ำหนักเป็น 1 แต่ละที่อยู่จะต้องเป็นผู้อนุมัติอย่างน้อยสองคนเพื่อให้การดำเนินการดำเนินไปล่วงหน้า

กระบวนการของลายเซ็นมัลวาร์

เมื่อแฮ็กเกอร์ได้รับคีย์ส่วนตัวหรือวลีเมล็ดพันธุ์ของผู้ใช้และผู้ใช้ไม่ได้ใช้กลไกหลายลายเซ็น (หมายถึงกระเป๋าเงินถูกควบคุมโดยผู้ใช้แต่เพียงผู้เดียว) แฮ็กเกอร์สามารถให้สิทธิ์เจ้าของ / ใช้งานอยู่หรือโอนสิทธิ์เจ้าของ / ใช้งานของผู้ใช้ไปยังที่อยู่ของตนเอง การกระทําเหล่านี้มักเรียกว่า multisignature ที่เป็นอันตราย แต่คํานี้สามารถกําหนดได้กว้าง ๆ ในความเป็นจริงสถานการณ์สามารถจัดหมวดหมู่ขึ้นอยู่กับว่าผู้ใช้ยังคงรักษาสิทธิ์เจ้าของ / ที่ใช้งานอยู่หรือไม่:

การประยุกต์ใช้กลไกลายเซ็นเพียบ

ในสถานการณ์ที่แสดงด้านล่างสิทธิ์เจ้าของ / ที่ใช้งานอยู่ของผู้ใช้ยังไม่ถูกลบออก แฮ็กเกอร์ได้เพิ่มที่อยู่ของตนเองในฐานะเจ้าของที่ได้รับอนุญาต / บุคคลที่ใช้งานอยู่ ตอนนี้บัญชีถูกควบคุมร่วมกันโดยผู้ใช้และแฮ็กเกอร์โดยมีเกณฑ์ตั้งไว้ที่ 2 ทั้งที่อยู่ของผู้ใช้และแฮ็กเกอร์มีน้ําหนัก 1 แม้ว่าผู้ใช้จะมีคีย์ส่วนตัว/วลีเมล็ดพันธุ์และคงสิทธิ์ Owner/Active ไว้ แต่ก็ไม่สามารถโอนทรัพย์สินได้ นี่เป็นเพราะคําขอโอนสินทรัพย์ใด ๆ ต้องได้รับการอนุมัติจากทั้งผู้ใช้และแฮ็กเกอร์เนื่องจากลายเซ็นทั้งสองเป็นสิ่งจําเป็นสําหรับการดําเนินการเพื่อดําเนินการต่อ

ในขณะที่กระบวนการโอนสินทรัพย์จากกระเป๋าเงินหลายลายเซ็นต้องใช้ลายเซ็นหลายลายเซ็น แต่การฝากเงินเข้ากระเป๋าเงินไม่ได้ หากผู้ใช้ไม่ได้ตรวจสอบสิทธิ์บัญชีเป็นประจําหรือไม่ได้ทําการโอนล่าสุดพวกเขาอาจไม่สังเกตเห็นการเปลี่ยนแปลงสิทธิ์ของกระเป๋าเงินซึ่งนําไปสู่การสูญเสียเป็นเวลานาน หากกระเป๋าเงินมีสินทรัพย์เพียงเล็กน้อยแฮกเกอร์อาจรอจนกว่าบัญชีจะสะสมทรัพย์สินมากขึ้นก่อนที่จะขโมยทุกอย่างพร้อมกัน

การประยุกต์ใช้ระบบการจัดการสิทธิของ TRON

ในสถานการณ์อื่น ๆ ผู้แฮกเกอร์ใช้ระบบการจัดการสิทธิ์ของ TRON โดยการโอนสิทธิ์เจ้าของ / ใช้งานของผู้ใช้โดยตรงไปยังที่อยู่ของเจ้าของเกอร์ โดยยังคงกำหนดเส้นคั่นที่ 1 การดำเนินการนี้ทำให้ผู้ใช้สูญเสียสิทธิ์เจ้าของ / ใช้งานของพวกเขา ทำให้สูญเสียการควบคุมที่แท้จริงต่อบัญชี แม้ว่านี่จะไม่ใช่กรณีของมัลติซิกเนเจอร์ที่เป็นอันตราย แต่โดยทั่วไปมักจะเรียกว่า

ในทั้งสองกรณี ไม่ว่าผู้ใช้จะเก็บสิทธิ์เจ้าของ/สิทธิ์ใช้งานหรือไม่ พวกเขาก็จะสูญเสียการควบคุมจริงๆ ของบัญชี ผู้แฮกเกอร์ที่มีสิทธิ์สูงสุดตอนนี้สามารถเปลี่ยนการตั้งค่าบัญชีและโอนสินทรัพย์ได้ ทำให้เจ้าของที่ถูกต้องไม่สามารถจัดการกระเป๋าของพวกเขา

วิธีการโจมตีแบบหลายลายเซ็นที่ร้ายแรง

โดยอ้างอิงจากข้อมูลที่เก็บไว้จากรายงานเงินทองที่ถูกขโมยของ MistTrack เราได้ระบุสาเหตุที่สามารถเป็นที่มาของการโจมตีด้วยลายเซ็นมัลติที่เป็นทรราช ผู้ใช้ควรสนใจในสถานการณ์ต่อไปนี้:

  1. การดาวน์โหลดกระเป๋าเงินปลอม: ผู้ใช้อาจดาวน์โหลดกระเป๋าเงินปลอมโดยการคลิกที่ลิงก์ไปยังเว็บไซต์ที่เกี่ยวข้องที่ส่งผ่านทางเทเลแกรม ทวิตเตอร์ หรือแหล่งที่มาอื่น ๆ ซึ่งอาจนำไปสู่การรั่วไหลของคีย์ส่วนตัวหรือวลีของเมล็ดพันธุ์ ซึ่งเป็นผลทำให้เกิดการโจมตีด้วยการเซ็นชานลายอย่างไม่ดี

  2. การป้อนคีย์ส่วนตัวในเว็บไซต์ที่โจมตี: ผู้ใช้ที่ป้อนคีย์ส่วนตัวหรือข้อความเมล็ดพันธุ์ในเว็บไซต์ที่โจมตีซึ่งให้บริการเช่นบัตรเชื้อเพลิง บัตรของขวัญ หรือ VPN อาจสูญเสียการควบคุมกระเป๋าเงินได้

  3. การซื้อขาย OTC: ระหว่างการทำธุรกรรม OTC (over-the-counter) บางคนอาจจะจับหรือได้รับกุญแจส่วนตัวหรือสิทธิ์ของผู้ใช้ได้ ซึ่งอาจ导致การโจมตีแบบมัลติซิกเนเจอร์ที่เป็นอันตราย

  4. การฉ้อโกงที่เกี่ยวข้องกับกุญแจส่วนตัว: ขโมยอาจให้กุญแจส่วนตัวโดยอ้างว่าพวกเขาไม่สามารถถอนสินทรัพย์และเสนอรางวัลให้ช่วยเหลือ แม้ว่ากระเป๋าเงินที่เกี่ยวข้องจะมีเงิน แต่สิทธิในการถอนถูกกำหนดให้ไปยังที่อยู่อื่นทำให้ไม่สามารถโอนได้ใดๆ

  1. ลิงก์การล่อลวงบน TRON: ผู้ใช้อาจคลิกลิงก์การล่อลวงบน TRON และลงชื่อข้อมูลที่เป็นอันตราย ทำให้เกิดการตั้งค่ามัลติซิกเนเจอร์ที่เป็นอันตราย

สรุป

ในคู่มือนี้เราใช้กระเป๋าเงิน TRON เป็นตัวอย่างเพื่ออธิบายกลไก multisignature วิธีที่แฮกเกอร์ทําการโจมตีแบบหลายลายเซ็นที่เป็นอันตรายและกลยุทธ์ทั่วไปที่ใช้ ข้อมูลนี้มีจุดมุ่งหมายเพื่อเพิ่มความเข้าใจและปรับปรุงการป้องกันการโจมตีแบบหลายลายเซ็นที่เป็นอันตราย นอกจากนี้ผู้ใช้บางคนโดยเฉพาะผู้เริ่มต้นอาจกําหนดค่ากระเป๋าเงินของพวกเขาสําหรับหลายลายเซ็นโดยไม่ตั้งใจซึ่งต้องใช้ลายเซ็นหลายลายเซ็นสําหรับการถ่ายโอน ในกรณีเช่นนี้ผู้ใช้ต้องปฏิบัติตามข้อกําหนดแบบหลายลายเซ็นหรือเปลี่ยนกลับเป็นลายเซ็นเดียวโดยกําหนดสิทธิ์เจ้าของ / ใช้งานอยู่ให้กับที่อยู่เดียวเท่านั้น

ข้อความปฏิเสธความรับผิดชอบ:

  1. บทความนี้ถูกเผยแพร่ใหม่จาก [ ]. สิทธิ์ในการคัดลอกทั้งหมดเป็นของผู้แต่งเพลงต้นฉบับ [**]. หากมีข้อปฏิเสธต่อการนำเผยแพร่นี้ กรุณาติดต่อGate Learnทีมงานและพวกเขาจะดำเนินการด้วยความรวดเร็ว
  2. คำปฏิเสธความรับผิด: มุมมองและความคิดเห็นที่แสดงในบทความนี้เป็นเพียงของผู้เขียนเท่านั้น และไม่เป็นการให้คำแนะนำทางการลงทุนใดๆ
  3. การแปลบทความเป็นภาษาอื่นๆ โดยทีม Gate Learn ถูกดำเนินการ หากไม่ได้ระบุไว้ การคัดลอก การกระจายหรือการลอกเลียนแบบบทความที่ถูกแปลนั้นถือเป็นการละเมิดกฎหมาย

คู่มือสำหรับมือใหม่เกี่ยวกับความปลอดภัยของ Web3: ความเสี่ยงที่กระเป๋าถูกเซ็นรับที่มีความอันตราย

มือใหม่9/12/2024, 2:42:43 PM
ในคู่มือนี้ เราใช้กระเป๋า TRON เป็นตัวอย่างเพื่ออธิบายแนวคิดของการล่องลอยหลายลายมือ กลไกของระบบหลายลายมือ ยุทธวิธีทั่วไปที่ใช้โดยแฮ็กเกอร์ และกลยุทธ์เพื่อป้องกันให้กระเป๋าของคุณไม่ถูกกำหนดค่าอย่างอันตรายด้วยการตั้งค่าหลายลายมืออย่างทรมาน

พื้นหลัง

ในภาคก่อนหน้าของ Web3 Security Guide เราได้พูดถึงความเสี่ยงที่เกี่ยวข้องกับการดาวน์โหลดหรือซื้อกระเป๋าเงินวิธีค้นหาเว็บไซต์อย่างเป็นทางการวิธีการตรวจสอบความถูกต้องของกระเป๋าเงินและอันตรายจากการรั่วไหลของคีย์ส่วนตัว / วลีเมล็ดพันธุ์ วลี "ไม่ใช่กุญแจของคุณไม่ใช่เหรียญของคุณ" เน้นความสําคัญของการควบคุมคีย์ส่วนตัวของคุณ อย่างไรก็ตามมีบางสถานการณ์ที่แม้แต่การมีคีย์ส่วนตัวหรือวลีเมล็ดพันธุ์ก็ไม่ได้รับประกันการควบคุมทรัพย์สินของคุณเช่นเมื่อกระเป๋าเงินถูกบุกรุกโดยการตั้งค่าหลายลายเซ็นที่เป็นอันตราย

จากข้อมูลที่รวบรวมจากรายงานเงินที่ถูกขโมยของ MistTrack ผู้ใช้บางคนพบว่ากระเป๋าเงินของพวกเขามีเงิน แต่พวกเขาไม่สามารถโอนได้เนื่องจากการกําหนดค่าหลายลายเซ็นที่เป็นอันตราย ในคู่มือนี้เราใช้กระเป๋าเงิน TRON เป็นตัวอย่างเพื่ออธิบายแนวคิดของ multisignature phishing กลไกของระบบ multisignature กลยุทธ์ทั่วไปที่แฮกเกอร์ใช้และกลยุทธ์เพื่อป้องกันไม่ให้กระเป๋าเงินของคุณถูกกําหนดค่าโดยมีเจตนาร้ายด้วยการตั้งค่าหลายลายเซ็น

กลไกลายละเอียด

กลไกหลายลายเซ็น (multisig) ถูกออกแบบเพื่อเสริมความปลอดภัยของกระเป๋าเงินดิจิทัลโดยอนุญาตให้ผู้ใช้หลายคนร่วมกันจัดการและควบคุมการเข้าถึงกระเป๋าเงินดิจิทัล การตั้งค่านี้หมายความว่า แม้ว่าบางผู้จัดการจะสูญหายหรือรั่วไหลกุญแจส่วนตัว/ประโยคเมล็ดพันธุ์ ทรัพย์สินภายในกระเป๋าเงินอาจยังคงปลอดภัย

ระบบลายเซ็นหลายรายการของ TRON ประกอบด้วยสามระดับการอนุญาตที่แตกต่างกัน: เจ้าของ, พยาน, และใช้งาน แต่ละระดับมีหน้าที่และวัตถุประสงค์ที่เฉพาะเจาะจง

สิทธิ์ของเจ้าของ:

  • ถือบทบาทที่สำคัญที่สุด สามารถดำเนินการทั้งหมดของสัญญาและการดำเนินงาน

  • เฉพาะเจ้าของเท่านั้นที่สามารถแก้ไขสิทธิ์อื่น ๆ ได้ รวมถึงการเพิ่มหรือลบผู้เซ็นชื่อ

  • เมื่อสร้างบัญชีใหม่ บัญชีเองจะได้รับสิทธิ์เป็นเจ้าของโดยค่าเริ่มต้น

การอนุญาตผู้เห็นพยาน:

  • เกี่ยวข้องโดยส่วนใหญ่กับตัวแทนพิเศษ การอนุญาตนี้ช่วยให้บัญชีสามารถเข้าร่วมกระบวนการเลือกตั้งและลงคะแนนสำหรับตัวแทนพิเศษ และจัดการดำเนินการที่เกี่ยวข้องกับพวกเขา

สิทธิ์ที่ใช้งานอยู่:

  • ใช้สำหรับการดำเนินงานประจำวัน เช่น การโอนเงินและการดำเนินการสมาร์ทคอนแทรกต์ เจ้าของสามารถตั้งค่าและแก้ไขสิทธิ์เหล่านี้ โดยทั่วไปจะมอบหมายให้บัญชีที่ต้องการทำงานที่เฉพาะเจาะจง สิทธิ์ที่ใช้งานอยู่รวมถึงช่วงของการดำเนินการที่ได้รับอนุญาต เช่น การโอน TRX และการจ่ายเงิน

เหมือนกับที่กล่าวถึงไว้ตอนแรก ที่อยู่ของบัญชีใหม่จะได้รับสิทธิ์เจ้าของ (ระดับสูงสุด) โดยอัตโนมัติตามค่าเริ่มต้น จากนั้นเจ้าของสามารถปรับโครงสร้างสิทธิ์ของบัญชีได้ ตัดสินใจว่าจะให้ที่อยู่ใดได้รับสิทธิ์ น้ำหนักของสิทธิ์เหล่านี้ และกำหนดเกณฑ์ขั้นต่ำ ช่วงเกณฑ์กำหนดค่าน้ำหนักที่จำเป็นต้องมีในการเซ็นต์เซ็นต์เพื่อดำเนินการบางอย่าง ตัวอย่างเช่น ถ้ากำหนดเกณฑ์ขั้นต่ำเป็น 2 และแต่ละที่อยู่ที่ได้รับอนุญาตมีน้ำหนักเป็น 1 แต่ละที่อยู่จะต้องเป็นผู้อนุมัติอย่างน้อยสองคนเพื่อให้การดำเนินการดำเนินไปล่วงหน้า

กระบวนการของลายเซ็นมัลวาร์

เมื่อแฮ็กเกอร์ได้รับคีย์ส่วนตัวหรือวลีเมล็ดพันธุ์ของผู้ใช้และผู้ใช้ไม่ได้ใช้กลไกหลายลายเซ็น (หมายถึงกระเป๋าเงินถูกควบคุมโดยผู้ใช้แต่เพียงผู้เดียว) แฮ็กเกอร์สามารถให้สิทธิ์เจ้าของ / ใช้งานอยู่หรือโอนสิทธิ์เจ้าของ / ใช้งานของผู้ใช้ไปยังที่อยู่ของตนเอง การกระทําเหล่านี้มักเรียกว่า multisignature ที่เป็นอันตราย แต่คํานี้สามารถกําหนดได้กว้าง ๆ ในความเป็นจริงสถานการณ์สามารถจัดหมวดหมู่ขึ้นอยู่กับว่าผู้ใช้ยังคงรักษาสิทธิ์เจ้าของ / ที่ใช้งานอยู่หรือไม่:

การประยุกต์ใช้กลไกลายเซ็นเพียบ

ในสถานการณ์ที่แสดงด้านล่างสิทธิ์เจ้าของ / ที่ใช้งานอยู่ของผู้ใช้ยังไม่ถูกลบออก แฮ็กเกอร์ได้เพิ่มที่อยู่ของตนเองในฐานะเจ้าของที่ได้รับอนุญาต / บุคคลที่ใช้งานอยู่ ตอนนี้บัญชีถูกควบคุมร่วมกันโดยผู้ใช้และแฮ็กเกอร์โดยมีเกณฑ์ตั้งไว้ที่ 2 ทั้งที่อยู่ของผู้ใช้และแฮ็กเกอร์มีน้ําหนัก 1 แม้ว่าผู้ใช้จะมีคีย์ส่วนตัว/วลีเมล็ดพันธุ์และคงสิทธิ์ Owner/Active ไว้ แต่ก็ไม่สามารถโอนทรัพย์สินได้ นี่เป็นเพราะคําขอโอนสินทรัพย์ใด ๆ ต้องได้รับการอนุมัติจากทั้งผู้ใช้และแฮ็กเกอร์เนื่องจากลายเซ็นทั้งสองเป็นสิ่งจําเป็นสําหรับการดําเนินการเพื่อดําเนินการต่อ

ในขณะที่กระบวนการโอนสินทรัพย์จากกระเป๋าเงินหลายลายเซ็นต้องใช้ลายเซ็นหลายลายเซ็น แต่การฝากเงินเข้ากระเป๋าเงินไม่ได้ หากผู้ใช้ไม่ได้ตรวจสอบสิทธิ์บัญชีเป็นประจําหรือไม่ได้ทําการโอนล่าสุดพวกเขาอาจไม่สังเกตเห็นการเปลี่ยนแปลงสิทธิ์ของกระเป๋าเงินซึ่งนําไปสู่การสูญเสียเป็นเวลานาน หากกระเป๋าเงินมีสินทรัพย์เพียงเล็กน้อยแฮกเกอร์อาจรอจนกว่าบัญชีจะสะสมทรัพย์สินมากขึ้นก่อนที่จะขโมยทุกอย่างพร้อมกัน

การประยุกต์ใช้ระบบการจัดการสิทธิของ TRON

ในสถานการณ์อื่น ๆ ผู้แฮกเกอร์ใช้ระบบการจัดการสิทธิ์ของ TRON โดยการโอนสิทธิ์เจ้าของ / ใช้งานของผู้ใช้โดยตรงไปยังที่อยู่ของเจ้าของเกอร์ โดยยังคงกำหนดเส้นคั่นที่ 1 การดำเนินการนี้ทำให้ผู้ใช้สูญเสียสิทธิ์เจ้าของ / ใช้งานของพวกเขา ทำให้สูญเสียการควบคุมที่แท้จริงต่อบัญชี แม้ว่านี่จะไม่ใช่กรณีของมัลติซิกเนเจอร์ที่เป็นอันตราย แต่โดยทั่วไปมักจะเรียกว่า

ในทั้งสองกรณี ไม่ว่าผู้ใช้จะเก็บสิทธิ์เจ้าของ/สิทธิ์ใช้งานหรือไม่ พวกเขาก็จะสูญเสียการควบคุมจริงๆ ของบัญชี ผู้แฮกเกอร์ที่มีสิทธิ์สูงสุดตอนนี้สามารถเปลี่ยนการตั้งค่าบัญชีและโอนสินทรัพย์ได้ ทำให้เจ้าของที่ถูกต้องไม่สามารถจัดการกระเป๋าของพวกเขา

วิธีการโจมตีแบบหลายลายเซ็นที่ร้ายแรง

โดยอ้างอิงจากข้อมูลที่เก็บไว้จากรายงานเงินทองที่ถูกขโมยของ MistTrack เราได้ระบุสาเหตุที่สามารถเป็นที่มาของการโจมตีด้วยลายเซ็นมัลติที่เป็นทรราช ผู้ใช้ควรสนใจในสถานการณ์ต่อไปนี้:

  1. การดาวน์โหลดกระเป๋าเงินปลอม: ผู้ใช้อาจดาวน์โหลดกระเป๋าเงินปลอมโดยการคลิกที่ลิงก์ไปยังเว็บไซต์ที่เกี่ยวข้องที่ส่งผ่านทางเทเลแกรม ทวิตเตอร์ หรือแหล่งที่มาอื่น ๆ ซึ่งอาจนำไปสู่การรั่วไหลของคีย์ส่วนตัวหรือวลีของเมล็ดพันธุ์ ซึ่งเป็นผลทำให้เกิดการโจมตีด้วยการเซ็นชานลายอย่างไม่ดี

  2. การป้อนคีย์ส่วนตัวในเว็บไซต์ที่โจมตี: ผู้ใช้ที่ป้อนคีย์ส่วนตัวหรือข้อความเมล็ดพันธุ์ในเว็บไซต์ที่โจมตีซึ่งให้บริการเช่นบัตรเชื้อเพลิง บัตรของขวัญ หรือ VPN อาจสูญเสียการควบคุมกระเป๋าเงินได้

  3. การซื้อขาย OTC: ระหว่างการทำธุรกรรม OTC (over-the-counter) บางคนอาจจะจับหรือได้รับกุญแจส่วนตัวหรือสิทธิ์ของผู้ใช้ได้ ซึ่งอาจ导致การโจมตีแบบมัลติซิกเนเจอร์ที่เป็นอันตราย

  4. การฉ้อโกงที่เกี่ยวข้องกับกุญแจส่วนตัว: ขโมยอาจให้กุญแจส่วนตัวโดยอ้างว่าพวกเขาไม่สามารถถอนสินทรัพย์และเสนอรางวัลให้ช่วยเหลือ แม้ว่ากระเป๋าเงินที่เกี่ยวข้องจะมีเงิน แต่สิทธิในการถอนถูกกำหนดให้ไปยังที่อยู่อื่นทำให้ไม่สามารถโอนได้ใดๆ

  1. ลิงก์การล่อลวงบน TRON: ผู้ใช้อาจคลิกลิงก์การล่อลวงบน TRON และลงชื่อข้อมูลที่เป็นอันตราย ทำให้เกิดการตั้งค่ามัลติซิกเนเจอร์ที่เป็นอันตราย

สรุป

ในคู่มือนี้เราใช้กระเป๋าเงิน TRON เป็นตัวอย่างเพื่ออธิบายกลไก multisignature วิธีที่แฮกเกอร์ทําการโจมตีแบบหลายลายเซ็นที่เป็นอันตรายและกลยุทธ์ทั่วไปที่ใช้ ข้อมูลนี้มีจุดมุ่งหมายเพื่อเพิ่มความเข้าใจและปรับปรุงการป้องกันการโจมตีแบบหลายลายเซ็นที่เป็นอันตราย นอกจากนี้ผู้ใช้บางคนโดยเฉพาะผู้เริ่มต้นอาจกําหนดค่ากระเป๋าเงินของพวกเขาสําหรับหลายลายเซ็นโดยไม่ตั้งใจซึ่งต้องใช้ลายเซ็นหลายลายเซ็นสําหรับการถ่ายโอน ในกรณีเช่นนี้ผู้ใช้ต้องปฏิบัติตามข้อกําหนดแบบหลายลายเซ็นหรือเปลี่ยนกลับเป็นลายเซ็นเดียวโดยกําหนดสิทธิ์เจ้าของ / ใช้งานอยู่ให้กับที่อยู่เดียวเท่านั้น

ข้อความปฏิเสธความรับผิดชอบ:

  1. บทความนี้ถูกเผยแพร่ใหม่จาก [ ]. สิทธิ์ในการคัดลอกทั้งหมดเป็นของผู้แต่งเพลงต้นฉบับ [**]. หากมีข้อปฏิเสธต่อการนำเผยแพร่นี้ กรุณาติดต่อGate Learnทีมงานและพวกเขาจะดำเนินการด้วยความรวดเร็ว
  2. คำปฏิเสธความรับผิด: มุมมองและความคิดเห็นที่แสดงในบทความนี้เป็นเพียงของผู้เขียนเท่านั้น และไม่เป็นการให้คำแนะนำทางการลงทุนใดๆ
  3. การแปลบทความเป็นภาษาอื่นๆ โดยทีม Gate Learn ถูกดำเนินการ หากไม่ได้ระบุไว้ การคัดลอก การกระจายหรือการลอกเลียนแบบบทความที่ถูกแปลนั้นถือเป็นการละเมิดกฎหมาย
เริ่มตอนนี้
สมัครและรับรางวัล
$100