index
index
Buradan Başlayın
Kurslar
Makaleler
HepsiAltcoinsBitcoinBlockchainDeFiEthereumMetaversoNFTNegociaçãoTutorialPerpétuosBots de NegociaçãoBRC-20GameFiDAOMacrotendênciasCarteirasInscriptionTecnologiamemeIASocialFiDePinStablecoinLiquid StakingFinançasRWABlockchains modularesProva de Conhecimento ZeroRestakingFerramentas CriptográficasAirdropProdutos GateSegurançaAnálise de projectosCryptoPulseInvestigação
Sözlük
Araştırma
Favorilerim
Creator Incentive
Etkinlikler
Oluşturucu Arenası
Kampüs Ambassador
Video Oluşturucuları Festivali
Günlük Çalışma Yarışması
Masterclass Yarışması
Giriş Yap
Hesap Oluştur
Mobil uygulamayı indirmek için QR kodunu tarayın.
Dil ve bölgeyi seçin
简体中文EnglishTiếng Việt繁體中文РусскийPortuguês (Portugal)ภาษาไทยIndonesiaTürkçe日本語عربيУкраїнськаPortuguês (Brasil)
Yükselen/düşen rengi
Başlangıç-Bitiş zamanı değişim yüzdesi
Learn
Guia do iniciante para a segurança da Web3: Risco de carteira ser maliciosamente multi-assinada

Guia do iniciante para a segurança da Web3: Risco de carteira ser maliciosamente multi-assinada

PrincipianteSep 12, 2024
Neste guia, usamos a carteira TRON como exemplo para explicar o conceito de phishing de assinatura múltipla, a mecânica dos sistemas de assinatura múltipla, as táticas comuns usadas pelos hackers e estratégias para evitar que sua carteira seja configurada maliciosamente com configurações de assinatura múltipla.
TutorialCarteiras
Guia do iniciante para a segurança da Web3: Risco de carteira ser maliciosamente multi-assinada

Antecedentes

No número anterior do Guia de Segurança Web3, discutimos os riscos associados ao download ou compra de carteiras, como encontrar sites oficiais, métodos para verificar a autenticidade das carteiras e os perigos de vazamentos de chave privada/frase-semente. A frase 'Não são suas chaves, não são suas moedas' enfatiza a importância de controlar suas chaves privadas. No entanto, existem situações em que mesmo possuir as chaves privadas ou frases-semente não garante o controle sobre seus ativos, como quando uma carteira é comprometida por uma configuração maliciosa de múltiplas assinaturas.

Com base nos dados coletados do relatório de fundos roubados do MistTrack, alguns usuários descobrem que suas carteiras contêm fundos, mas não conseguem transferi-los devido a configurações maliciosas de multisignature. Neste guia, usamos a carteira TRON como exemplo para explicar o conceito de phishing de multisignature, a mecânica dos sistemas de multisignature, táticas comuns usadas por hackers e estratégias para evitar que sua carteira seja configurada maliciosamente com configurações de multisignature.

Mecanismo de Multisignatura

Um mecanismo de multisignatura (multisig) é projetado para aumentar a segurança da carteira, permitindo que vários usuários gerenciem e controlem coletivamente o acesso a uma carteira de ativos digitais. Essa configuração significa que mesmo se alguns gerentes perderem ou vazarem suas chaves privadas/frases-semente, os ativos dentro da carteira podem permanecer seguros.

O sistema de assinatura múltipla da TRON inclui três níveis de permissão distintos: Proprietário, Testemunha e Ativo, cada um com funções e propósitos específicos.

Permissões do Proprietário:

  • Detém o mais alto nível de autoridade, capaz de executar todos os contratos e operações.

  • Apenas um proprietário pode modificar outras permissões, incluindo adicionar ou remover signatários.

  • Quando uma nova conta é criada, a própria conta é atribuída à permissão do proprietário por padrão.

Permissões de Testemunha:

  • Principalmente associada aos Super Representantes, esta permissão permite que uma conta participe nos processos de eleição e votação para Super Representantes, bem como gerencie operações relacionadas a eles.

Permissões Ativas:

  • Usado para operações diárias como transferências e execução de contratos inteligentes. O proprietário pode definir e modificar essas permissões, atribuindo-as normalmente a contas que precisam realizar tarefas específicas. As permissões ativas abrangem uma variedade de ações autorizadas, como transferências TRX e aposta de ativos.

Como mencionado anteriormente, o endereço de uma nova conta recebe automaticamente permissões de proprietário (o nível mais alto) por padrão. Esse proprietário pode, então, ajustar a estrutura de permissões da conta, decidindo quais endereços recebem permissões, o peso dessas permissões e definindo os limites. O limite determina o peso necessário das assinaturas para executar ações específicas. Por exemplo, se o limite for definido como 2 e cada um dos três endereços autorizados tiver um peso de 1, então pelo menos duas assinaturas devem aprovar para que a operação prossiga.

O Processo de Multisignatura Maliciosa

Quando um hacker obtém a chave privada ou frase de semente de um usuário e o usuário não implementou um mecanismo de multisignatura (significando que a carteira é controlada exclusivamente pelo usuário), o hacker pode conceder a si mesmo permissões de Proprietário/Ativo ou transferir as permissões de Proprietário/Ativo do usuário para seu próprio endereço. Essas ações são comumente referidas como multisignatura maliciosa, mas esse termo pode ser amplamente definido. Na realidade, a situação pode ser categorizada com base em se o usuário ainda retém quaisquer permissões de Proprietário/Ativo:

Explorando o Mecanismo Multisignature

No cenário abaixo, as permissões do Proprietário/Ativo do usuário não foram removidas; em vez disso, o hacker adicionou seu próprio endereço como uma parte autorizada do Proprietário/Ativo. A conta agora é controlada conjuntamente pelo usuário e pelo hacker, com o limite definido em 2. Os endereços do usuário e do hacker têm um peso de 1. Apesar do usuário possuir a chave privada/frase-semente e manter as permissões de Proprietário/Ativo, eles não podem transferir seus ativos. Isso ocorre porque qualquer solicitação de transferência de ativos requer a aprovação tanto do usuário quanto do hacker, pois ambas as assinaturas são necessárias para que a operação seja concluída.

Embora o processo de transferência de ativos de uma carteira multiassinatura exija várias assinaturas, o depósito de fundos na carteira não exige. Se os usuários não verificarem regularmente as permissões de sua conta ou não tiverem feito transferências recentes, eles podem não perceber as alterações nas permissões de sua carteira, levando a perdas prolongadas. Se a carteira contiver apenas uma pequena quantidade de ativos, os hackers podem esperar até que a conta acumule mais ativos antes de roubar tudo de uma vez.

Explorando o Sistema de Gerenciamento de Permissões da TRON

Num outro cenário, os hackers exploram o sistema de gestão de permissões da TRON ao transferir diretamente as permissões do Proprietário/Ativo do utilizador para o endereço do hacker, com o limiar ainda definido como 1. Esta ação retira ao utilizador as suas permissões de Proprietário/Ativo, removendo efetivamente o controlo sobre a conta, inclusive os "direitos de voto". Embora isto não seja tecnicamente um caso de multisignatura maliciosa, é comumente referido como tal.

Em ambos os casos, quer o utilizador retenha ou não quaisquer permissões de Proprietário/Ativo, perde o controlo efetivo sobre a conta. O hacker, agora detentor das permissões mais elevadas, pode alterar as definições da conta e transferir ativos, deixando o legítimo proprietário incapaz de gerir a sua carteira.

Métodos de Ataques Maliciosos de Assinatura Múltipla

Com base nos dados recolhidos do relatório de fundos roubados da MistTrack, identificámos várias causas comuns de ataques maliciosos de multisignatura. Os utilizadores devem estar atentos nas seguintes situações:

  1. Transferência de Carteiras Falsas: Os utilizadores podem transferir carteiras falsas ao clicar em ligações para websites fraudulentos enviados via Telegram, Twitter ou outras fontes. Isto pode resultar na divulgação de chaves privadas ou frases-passe, originando ataques maliciosos de multiassinatura.

  2. Inserir Chaves Privadas em Sites de Phishing: Os utilizadores que inserem as suas chaves privadas ou frases de semente em sites de phishing que oferecem serviços como cartões de combustível, cartões de oferta ou VPNs podem perder o controlo das suas carteiras.

  3. Negociação OTC: Durante as transações OTC (over-the-counter), alguém pode capturar ou adquirir de outra forma as chaves privadas ou permissões do usuário, levando a um ataque malicioso de multisignatura.

  4. Esquemas Envolvendo Chaves Privadas: Os golpistas podem fornecer uma chave privada, alegando que não podem sacar ativos e oferecendo uma recompensa para assistência. Embora a carteira associada pareça ter fundos, as permissões de saque estão configuradas para outro endereço, impedindo qualquer transferência.

  1. Links de phishing no TRON: Os utilizadores podem clicar em links de phishing no TRON e assinar dados maliciosos, resultando numa configuração maliciosa de multisignatura.

Conclusão

Neste guia, usamos a carteira TRON como exemplo para explicar o mecanismo de multiassinatura, como os hackers conduzem ataques maliciosos de multiassinatura e táticas comuns usadas. Esta informação tem como objetivo melhorar a compreensão e a prevenção contra ataques maliciosos de multiassinatura. Além disso, alguns utilizadores, especialmente iniciantes, podem configurar acidentalmente as suas carteiras para multiassinatura, exigindo múltiplas assinaturas para transferências. Nestes casos, os utilizadores precisam cumprir os requisitos de multiassinatura ou voltar a uma única assinatura, atribuindo permissões de Proprietário/Ativo a apenas um endereço.

Aviso Legal:

  1. Este artigo é reproduzido a partir de []. Todos os direitos autorais pertencem ao autor original [**]. Se houver objeções a este reenvio, entre em contato com o Gate Learnequipa e eles vão tratar disso prontamente.
  2. Aviso de Responsabilidade: As opiniões expressas neste artigo são exclusivamente do autor e não constituem nenhum conselho de investimento.
  3. As traduções do artigo para outros idiomas são feitas pela equipe do Gate Learn. A menos que mencionado, copiar, distribuir ou plagiar os artigos traduzidos é proibido.

Antecedentes

Mecanismo Multisignature

Explorando o Mecanismo de Multisignature

Explorando o Sistema de Gerenciamento de Permissões da TRON

Métodos de ataques maliciosos de assinatura múltipla

Conclusão

Guia do iniciante para a segurança da Web3: Risco de carteira ser maliciosamente multi-assinada

PrincipianteSep 12, 2024
Neste guia, usamos a carteira TRON como exemplo para explicar o conceito de phishing de assinatura múltipla, a mecânica dos sistemas de assinatura múltipla, as táticas comuns usadas pelos hackers e estratégias para evitar que sua carteira seja configurada maliciosamente com configurações de assinatura múltipla.
TutorialCarteiras
Guia do iniciante para a segurança da Web3: Risco de carteira ser maliciosamente multi-assinada

Antecedentes

Mecanismo Multisignature

Explorando o Mecanismo de Multisignature

Explorando o Sistema de Gerenciamento de Permissões da TRON

Métodos de ataques maliciosos de assinatura múltipla

Conclusão

Antecedentes

No número anterior do Guia de Segurança Web3, discutimos os riscos associados ao download ou compra de carteiras, como encontrar sites oficiais, métodos para verificar a autenticidade das carteiras e os perigos de vazamentos de chave privada/frase-semente. A frase 'Não são suas chaves, não são suas moedas' enfatiza a importância de controlar suas chaves privadas. No entanto, existem situações em que mesmo possuir as chaves privadas ou frases-semente não garante o controle sobre seus ativos, como quando uma carteira é comprometida por uma configuração maliciosa de múltiplas assinaturas.

Com base nos dados coletados do relatório de fundos roubados do MistTrack, alguns usuários descobrem que suas carteiras contêm fundos, mas não conseguem transferi-los devido a configurações maliciosas de multisignature. Neste guia, usamos a carteira TRON como exemplo para explicar o conceito de phishing de multisignature, a mecânica dos sistemas de multisignature, táticas comuns usadas por hackers e estratégias para evitar que sua carteira seja configurada maliciosamente com configurações de multisignature.

Mecanismo de Multisignatura

Um mecanismo de multisignatura (multisig) é projetado para aumentar a segurança da carteira, permitindo que vários usuários gerenciem e controlem coletivamente o acesso a uma carteira de ativos digitais. Essa configuração significa que mesmo se alguns gerentes perderem ou vazarem suas chaves privadas/frases-semente, os ativos dentro da carteira podem permanecer seguros.

O sistema de assinatura múltipla da TRON inclui três níveis de permissão distintos: Proprietário, Testemunha e Ativo, cada um com funções e propósitos específicos.

Permissões do Proprietário:

  • Detém o mais alto nível de autoridade, capaz de executar todos os contratos e operações.

  • Apenas um proprietário pode modificar outras permissões, incluindo adicionar ou remover signatários.

  • Quando uma nova conta é criada, a própria conta é atribuída à permissão do proprietário por padrão.

Permissões de Testemunha:

  • Principalmente associada aos Super Representantes, esta permissão permite que uma conta participe nos processos de eleição e votação para Super Representantes, bem como gerencie operações relacionadas a eles.

Permissões Ativas:

  • Usado para operações diárias como transferências e execução de contratos inteligentes. O proprietário pode definir e modificar essas permissões, atribuindo-as normalmente a contas que precisam realizar tarefas específicas. As permissões ativas abrangem uma variedade de ações autorizadas, como transferências TRX e aposta de ativos.

Como mencionado anteriormente, o endereço de uma nova conta recebe automaticamente permissões de proprietário (o nível mais alto) por padrão. Esse proprietário pode, então, ajustar a estrutura de permissões da conta, decidindo quais endereços recebem permissões, o peso dessas permissões e definindo os limites. O limite determina o peso necessário das assinaturas para executar ações específicas. Por exemplo, se o limite for definido como 2 e cada um dos três endereços autorizados tiver um peso de 1, então pelo menos duas assinaturas devem aprovar para que a operação prossiga.

O Processo de Multisignatura Maliciosa

Quando um hacker obtém a chave privada ou frase de semente de um usuário e o usuário não implementou um mecanismo de multisignatura (significando que a carteira é controlada exclusivamente pelo usuário), o hacker pode conceder a si mesmo permissões de Proprietário/Ativo ou transferir as permissões de Proprietário/Ativo do usuário para seu próprio endereço. Essas ações são comumente referidas como multisignatura maliciosa, mas esse termo pode ser amplamente definido. Na realidade, a situação pode ser categorizada com base em se o usuário ainda retém quaisquer permissões de Proprietário/Ativo:

Explorando o Mecanismo Multisignature

No cenário abaixo, as permissões do Proprietário/Ativo do usuário não foram removidas; em vez disso, o hacker adicionou seu próprio endereço como uma parte autorizada do Proprietário/Ativo. A conta agora é controlada conjuntamente pelo usuário e pelo hacker, com o limite definido em 2. Os endereços do usuário e do hacker têm um peso de 1. Apesar do usuário possuir a chave privada/frase-semente e manter as permissões de Proprietário/Ativo, eles não podem transferir seus ativos. Isso ocorre porque qualquer solicitação de transferência de ativos requer a aprovação tanto do usuário quanto do hacker, pois ambas as assinaturas são necessárias para que a operação seja concluída.

Embora o processo de transferência de ativos de uma carteira multiassinatura exija várias assinaturas, o depósito de fundos na carteira não exige. Se os usuários não verificarem regularmente as permissões de sua conta ou não tiverem feito transferências recentes, eles podem não perceber as alterações nas permissões de sua carteira, levando a perdas prolongadas. Se a carteira contiver apenas uma pequena quantidade de ativos, os hackers podem esperar até que a conta acumule mais ativos antes de roubar tudo de uma vez.

Explorando o Sistema de Gerenciamento de Permissões da TRON

Num outro cenário, os hackers exploram o sistema de gestão de permissões da TRON ao transferir diretamente as permissões do Proprietário/Ativo do utilizador para o endereço do hacker, com o limiar ainda definido como 1. Esta ação retira ao utilizador as suas permissões de Proprietário/Ativo, removendo efetivamente o controlo sobre a conta, inclusive os "direitos de voto". Embora isto não seja tecnicamente um caso de multisignatura maliciosa, é comumente referido como tal.

Em ambos os casos, quer o utilizador retenha ou não quaisquer permissões de Proprietário/Ativo, perde o controlo efetivo sobre a conta. O hacker, agora detentor das permissões mais elevadas, pode alterar as definições da conta e transferir ativos, deixando o legítimo proprietário incapaz de gerir a sua carteira.

Métodos de Ataques Maliciosos de Assinatura Múltipla

Com base nos dados recolhidos do relatório de fundos roubados da MistTrack, identificámos várias causas comuns de ataques maliciosos de multisignatura. Os utilizadores devem estar atentos nas seguintes situações:

  1. Transferência de Carteiras Falsas: Os utilizadores podem transferir carteiras falsas ao clicar em ligações para websites fraudulentos enviados via Telegram, Twitter ou outras fontes. Isto pode resultar na divulgação de chaves privadas ou frases-passe, originando ataques maliciosos de multiassinatura.

  2. Inserir Chaves Privadas em Sites de Phishing: Os utilizadores que inserem as suas chaves privadas ou frases de semente em sites de phishing que oferecem serviços como cartões de combustível, cartões de oferta ou VPNs podem perder o controlo das suas carteiras.

  3. Negociação OTC: Durante as transações OTC (over-the-counter), alguém pode capturar ou adquirir de outra forma as chaves privadas ou permissões do usuário, levando a um ataque malicioso de multisignatura.

  4. Esquemas Envolvendo Chaves Privadas: Os golpistas podem fornecer uma chave privada, alegando que não podem sacar ativos e oferecendo uma recompensa para assistência. Embora a carteira associada pareça ter fundos, as permissões de saque estão configuradas para outro endereço, impedindo qualquer transferência.

  1. Links de phishing no TRON: Os utilizadores podem clicar em links de phishing no TRON e assinar dados maliciosos, resultando numa configuração maliciosa de multisignatura.

Conclusão

Neste guia, usamos a carteira TRON como exemplo para explicar o mecanismo de multiassinatura, como os hackers conduzem ataques maliciosos de multiassinatura e táticas comuns usadas. Esta informação tem como objetivo melhorar a compreensão e a prevenção contra ataques maliciosos de multiassinatura. Além disso, alguns utilizadores, especialmente iniciantes, podem configurar acidentalmente as suas carteiras para multiassinatura, exigindo múltiplas assinaturas para transferências. Nestes casos, os utilizadores precisam cumprir os requisitos de multiassinatura ou voltar a uma única assinatura, atribuindo permissões de Proprietário/Ativo a apenas um endereço.

Aviso Legal:

  1. Este artigo é reproduzido a partir de []. Todos os direitos autorais pertencem ao autor original [**]. Se houver objeções a este reenvio, entre em contato com o Gate Learnequipa e eles vão tratar disso prontamente.
  2. Aviso de Responsabilidade: As opiniões expressas neste artigo são exclusivamente do autor e não constituem nenhum conselho de investimento.
  3. As traduções do artigo para outros idiomas são feitas pela equipe do Gate Learn. A menos que mencionado, copiar, distribuir ou plagiar os artigos traduzidos é proibido.
Şimdi Başlayın
Kaydolun ve
100 USD
değerinde Kupon kazanın!
Hakkında
Ürünler
Hizmetler
Kurumsal
Anlar
Learn
Finans
Türkçe
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • ภาษาไทย
  • Indonesia
  • Türkçe
  • 日本語
  • عربي
  • Українська
  • Português (Brasil)
    • Gate.io © 2013-2024.
    Learn
    Copyright © 2013-2024. All Right Reserved.