Panduan Menghindari Risiko Serangan Tanda Tangan Multi yang Jahat
Latar Belakang
Pada sebelumnyainstalmen dari Panduan Pemula Keamanan Web3 kami, kami membahas risiko yang terkait dengan mengunduh atau membeli dompet, mengidentifikasi situs web resmi, memverifikasi keaslian dompet, dan bahaya kebocoran kunci pribadi/frasa biji. Meskipun pepatah 'Bukan kunci Anda, bukan koin Anda' menekankan pentingnya kontrol atas kunci pribadi Anda, ada skenario di mana memiliki kunci pribadi/frasa biji saja tidak menjamin kontrol atas aset Anda. Misalnya, dompet Anda bisa ditandatangani secara jahat oleh banyak pihak. Berdasarkan data yang dikumpulkan dari formulir yang dicuri oleh MistTrack, beberapa pengguna bingung mengapa dompet mereka memiliki saldo tetapi tidak dapat mentransfer dana setelah terjadi serangan tandatangan ganda yang jahat. Dalam isu ini, kami akan menggunakan dompet TRON untuk menggambarkan konsep phishing tanda tangan ganda, termasuk mekanisme tandatangan ganda, taktik umum hacker, dan strategi untuk mencegah serangan tandatangan ganda yang jahat.
Mekanisme tanda tangan multi
Mekanisme Tanda Tangan Multi
Mari kita mulai dengan gambaran singkat tentang apa yang dimaksud dengan tanda tangan multi. Mekanisme tanda tangan multi dirancang untuk meningkatkan keamanan dompet dengan memungkinkan beberapa pengguna untuk secara bersama-sama mengelola dan mengontrol akses ke satu dompet aset digital. Ini berarti bahwa meskipun beberapa administrator kehilangan atau mengungkapkan kunci pribadi/frasa biji mereka, aset dompet mungkin tetap aman.
Sistem izin tanda tangan multi TRON terstruktur dalam tiga jenis izin: Pemilik, Saksi, dan Aktif, masing-masing memiliki tujuan yang berbeda:
Izin Pemilik:
- Memberikan tingkat otoritas tertinggi untuk menjalankan semua kontrak dan operasi.
- Hanya pemegang izin ini yang dapat memodifikasi izin lain, termasuk menambah atau menghapus pihak lain yang menandatanganinya.
- Secara default, sebuah akun yang baru dibuat memiliki izin Pemilik.
Izin Saksi:
Izin ini terkait dengan Super Representatives, memungkinkan akun untuk berpartisipasi dalam proses pemilihan dan pemungutan suara untuk Super Representatives, serta mengelola operasi terkait.
Izin Aktif:
Digunakan untuk operasi rutin seperti transfer dana dan memanggil kontrak pintar. Izin ini dapat diatur dan disesuaikan oleh izin Pemilik dan biasanya dialokasikan ke akun untuk melakukan tugas-tugas tertentu. Ini mencakup kumpulan tindakan yang diotorisasi (misalnya, transfer TRX, penempatan aset).
Ketika sebuah akun baru dibuat, secara otomatis menerima izin Pemilik (otoritas tertinggi). Pemegang akun kemudian dapat menyesuaikan struktur izinnya, menentukan alamat mana yang diizinkan, mengatur bobot dari alamat-alamat ini, dan mengonfigurasi ambang batas. Ambang batas mewakili jumlah tanda tangan yang diperlukan untuk menjalankan tindakan tertentu. Dalam diagram di bawah ini, ambang batas 2 berarti bahwa untuk tindakan dilakukan, 2 dari 3 alamat yang diizinkan harus menandatangani.
(https://support.tronscan.org/hc/article_attachments/29939335264665)
Proses Penanda Tanganan Multi yang Jahat
Jika seorang peretas memperoleh kunci pribadi/frase benih pengguna dan pengguna belum menggunakan mekanisme multi-tanda tangan (misalnya, dompet sepenuhnya dikontrol oleh pengguna), peretas dapat memberikan izin Pemilik/Aktif ke alamat mereka atau mentransfer izin Pemilik/Aktif pengguna ke diri mereka sendiri. Tindakan-tindakan ini sering disebut sebagai serangan multi-tanda tangan yang jahat, tetapi dapat dibedakan berdasarkan apakah pengguna masih memegang izin Pemilik/Aktif:
Memanfaatkan Mekanisme Multi-Tanda Tangan:Jika peretas memberikan izin Pemilik/Aktif kepada diri mereka sendiri sementara izin pengguna tetap utuh, akun dikelola bersama oleh pengguna dan peretas (dengan ambang batas 2). Alamat pengguna dan peretas memiliki bobot 1. Meskipun pengguna memiliki kunci pribadi/frasa benih dan memiliki izin Pemilik/Aktif, mereka tidak dapat mentransfer aset mereka karena transaksi memerlukan tanda tangan dari alamat pengguna dan peretas.
Sementara akun multitenant memerlukan tanda tangan ganda untuk mengotorisasi transfer aset, menyetor dana ke dalam dompet tidak memerlukan hal tersebut. Jika pengguna tidak secara rutin memeriksa izin akun mereka atau belum melakukan transfer baru-baru ini, mereka mungkin tidak memperhatikan perubahan dalam otorisasi dompet mereka, yang dapat mengakibatkan risiko berkelanjutan. Peretas mungkin mengeksploitasi ini dengan menunggu sampai akun mengumpulkan jumlah aset yang signifikan sebelum melakukan pencurian secara besar-besaran.
Menggunakan Desain Manajemen Izin TRON: Skenario lain melibatkan peretas yang memanfaatkan desain manajemen izin TRON untuk secara langsung mentransfer izin Pemilik / Aktif pengguna ke alamat mereka (dengan ambang batas masih di 1), menyebabkan pengguna kehilangan izin ini dan "hak suara" mereka. Dalam hal ini, peretas tidak menggunakan mekanisme multi-tanda tangan untuk mencegah transfer aset tetapi masih disebut multi-tanda tangan berbahaya dalam terminologi umum.
Kedua skenario menghasilkan hasil yang sama: apakah pengguna tetap memiliki izin Pemilik/Aktif atau tidak, mereka kehilangan kendali efektif atas akun, dan peretas mendapatkan kendali penuh, termasuk kemampuan untuk memodifikasi izin dan mentransfer aset.
Penyebab Umum Serangan Tanda Tangan Ganda yang Jahat
Berdasarkan data curian yang dikumpulkan oleh MistTrack, kami telah mengidentifikasi beberapa penyebab umum serangan multi-tanda tangan yang jahat. Tetap waspada jika Anda menghadapi salah satu situasi berikut:
1.Mengunduh dari Sumber yang Salah:Mengklik tautan resmi palsu yang dikirim melalui Telegram, Twitter, atau dari teman bisa mengarah ke dompet palsu dan kebocoran frase kunci pribadi/benih dan serangan tanda tangan ganda jahat.
2.Memasukkan Kunci Pribadi/Frasa Benih di Situs Phishing:Memasukkan kunci pribadi/frasa biji pada situs web phishing yang menawarkan kartu bahan bakar, kartu hadiah, atau layanan VPN, yang mengakibatkan kehilangan kontrol atas akun dompet.
3.Transaksi OTC:Selama transaksi luar bursa, jika seseorang mengambil kunci pribadi/frasa benih atau memperoleh otorisasi akun melalui cara lain, dompet dapat ditanda tangani secara jahat, menyebabkan kerugian aset.
4.Penawaran Penipuan:Penipu bisa memberikan kunci pribadi/frase biji dan mengklaim mereka tidak dapat menarik aset dari dompet, menawarkan hadiah jika Anda membantu. Meskipun ada dana di dompet, Anda tidak akan dapat menariknya jika hak penarikan telah dialihkan ke alamat lain oleh penipu.
5.Tautan Phishing di TRON:Situasi yang kurang umum di mana pengguna mengklik tautan phishing di TRON dan menandatangani data berbahaya, mengakibatkan serangan multi-tanda tangan yang berbahaya.
Ringkasan
Dalam panduan ini, kami telah menggunakan dompet TRON untuk menjelaskan mekanisme tanda tangan multi, proses dan taktik serangan tanda tangan multi yang jahat, dan strategi untuk menghindarinya. Kami berharap ini memberikan pemahaman yang lebih jelas tentang mekanisme tanda tangan multi dan meningkatkan kemampuan Anda untuk mencegah serangan tanda tangan multi yang jahat. Selain itu, ada kasus-kasus khusus di mana pengguna pemula mungkin tidak sengaja mengatur dompet mereka untuk tanda tangan multi karena kesalahan operasional atau salah paham, yang memerlukan tanda tangan ganda untuk transfer. Dalam kasus seperti itu, pengguna harus memenuhi persyaratan tanda tangan multi atau menyesuaikan izin untuk memberikan izin Pemilik/Aktif untuk satu alamat untuk memulihkan fungsi tanda tangan tunggal.
Akhirnya, tim Keamanan SlowMist merekomendasikan pengguna untuk secara rutin memeriksa izin akun mereka untuk adanya ketidaknormalan, mengunduh dompet dari sumber resmi (seperti yang dijelaskan dalam artikel kami panduan tentang dompet palsu dan kebocoran kunci pribadi/seed phrase) , hindari mengklik tautan yang tidak dikenal, dan hindari memasukkan kunci pribadi/frasa benih tanpa kehati-hatian. Selain itu, pasang perangkat lunak antivirus (seperti Kaspersky, AVG) dan pemblokir risiko phishing (seperti Scam Sniffer) untuk meningkatkan keamanan perangkat.
Penafian:
- Artikel ini dicetak ulang dari [SlowMist], Semua hak cipta adalah milik penulis asli [Tim Keamanan SlomMist]. Jika ada keberatan terhadap cetak ulang ini, silakan hubungi Gate Belajartim, dan mereka akan menanganinya dengan segera.
- Penyangkalan Tanggung Jawab: Pandangan dan pendapat yang tercantum dalam artikel ini semata-mata adalah milik penulis dan tidak merupakan saran investasi apa pun.
- Terjemahan artikel ke dalam bahasa lain dilakukan oleh tim Gate Learn. Kecuali disebutkan, menyalin, mendistribusikan, atau menjiplak artikel yang diterjemahkan dilarang.
İlgili makaleler
Bagaimana Melakukan Penelitian Anda Sendiri (DYOR)?
Apa itu Solana?
Apa Itu Analisis Fundamental?
Panduan Menghindari Risiko Serangan Tanda Tangan Multi yang Jahat
Latar Belakang
Pada sebelumnyainstalmen dari Panduan Pemula Keamanan Web3 kami, kami membahas risiko yang terkait dengan mengunduh atau membeli dompet, mengidentifikasi situs web resmi, memverifikasi keaslian dompet, dan bahaya kebocoran kunci pribadi/frasa biji. Meskipun pepatah 'Bukan kunci Anda, bukan koin Anda' menekankan pentingnya kontrol atas kunci pribadi Anda, ada skenario di mana memiliki kunci pribadi/frasa biji saja tidak menjamin kontrol atas aset Anda. Misalnya, dompet Anda bisa ditandatangani secara jahat oleh banyak pihak. Berdasarkan data yang dikumpulkan dari formulir yang dicuri oleh MistTrack, beberapa pengguna bingung mengapa dompet mereka memiliki saldo tetapi tidak dapat mentransfer dana setelah terjadi serangan tandatangan ganda yang jahat. Dalam isu ini, kami akan menggunakan dompet TRON untuk menggambarkan konsep phishing tanda tangan ganda, termasuk mekanisme tandatangan ganda, taktik umum hacker, dan strategi untuk mencegah serangan tandatangan ganda yang jahat.
Mekanisme tanda tangan multi
Mekanisme Tanda Tangan Multi
Mari kita mulai dengan gambaran singkat tentang apa yang dimaksud dengan tanda tangan multi. Mekanisme tanda tangan multi dirancang untuk meningkatkan keamanan dompet dengan memungkinkan beberapa pengguna untuk secara bersama-sama mengelola dan mengontrol akses ke satu dompet aset digital. Ini berarti bahwa meskipun beberapa administrator kehilangan atau mengungkapkan kunci pribadi/frasa biji mereka, aset dompet mungkin tetap aman.
Sistem izin tanda tangan multi TRON terstruktur dalam tiga jenis izin: Pemilik, Saksi, dan Aktif, masing-masing memiliki tujuan yang berbeda:
Izin Pemilik:
- Memberikan tingkat otoritas tertinggi untuk menjalankan semua kontrak dan operasi.
- Hanya pemegang izin ini yang dapat memodifikasi izin lain, termasuk menambah atau menghapus pihak lain yang menandatanganinya.
- Secara default, sebuah akun yang baru dibuat memiliki izin Pemilik.
Izin Saksi:
Izin ini terkait dengan Super Representatives, memungkinkan akun untuk berpartisipasi dalam proses pemilihan dan pemungutan suara untuk Super Representatives, serta mengelola operasi terkait.
Izin Aktif:
Digunakan untuk operasi rutin seperti transfer dana dan memanggil kontrak pintar. Izin ini dapat diatur dan disesuaikan oleh izin Pemilik dan biasanya dialokasikan ke akun untuk melakukan tugas-tugas tertentu. Ini mencakup kumpulan tindakan yang diotorisasi (misalnya, transfer TRX, penempatan aset).
Ketika sebuah akun baru dibuat, secara otomatis menerima izin Pemilik (otoritas tertinggi). Pemegang akun kemudian dapat menyesuaikan struktur izinnya, menentukan alamat mana yang diizinkan, mengatur bobot dari alamat-alamat ini, dan mengonfigurasi ambang batas. Ambang batas mewakili jumlah tanda tangan yang diperlukan untuk menjalankan tindakan tertentu. Dalam diagram di bawah ini, ambang batas 2 berarti bahwa untuk tindakan dilakukan, 2 dari 3 alamat yang diizinkan harus menandatangani.
(https://support.tronscan.org/hc/article_attachments/29939335264665)
Proses Penanda Tanganan Multi yang Jahat
Jika seorang peretas memperoleh kunci pribadi/frase benih pengguna dan pengguna belum menggunakan mekanisme multi-tanda tangan (misalnya, dompet sepenuhnya dikontrol oleh pengguna), peretas dapat memberikan izin Pemilik/Aktif ke alamat mereka atau mentransfer izin Pemilik/Aktif pengguna ke diri mereka sendiri. Tindakan-tindakan ini sering disebut sebagai serangan multi-tanda tangan yang jahat, tetapi dapat dibedakan berdasarkan apakah pengguna masih memegang izin Pemilik/Aktif:
Memanfaatkan Mekanisme Multi-Tanda Tangan:Jika peretas memberikan izin Pemilik/Aktif kepada diri mereka sendiri sementara izin pengguna tetap utuh, akun dikelola bersama oleh pengguna dan peretas (dengan ambang batas 2). Alamat pengguna dan peretas memiliki bobot 1. Meskipun pengguna memiliki kunci pribadi/frasa benih dan memiliki izin Pemilik/Aktif, mereka tidak dapat mentransfer aset mereka karena transaksi memerlukan tanda tangan dari alamat pengguna dan peretas.
Sementara akun multitenant memerlukan tanda tangan ganda untuk mengotorisasi transfer aset, menyetor dana ke dalam dompet tidak memerlukan hal tersebut. Jika pengguna tidak secara rutin memeriksa izin akun mereka atau belum melakukan transfer baru-baru ini, mereka mungkin tidak memperhatikan perubahan dalam otorisasi dompet mereka, yang dapat mengakibatkan risiko berkelanjutan. Peretas mungkin mengeksploitasi ini dengan menunggu sampai akun mengumpulkan jumlah aset yang signifikan sebelum melakukan pencurian secara besar-besaran.
Menggunakan Desain Manajemen Izin TRON: Skenario lain melibatkan peretas yang memanfaatkan desain manajemen izin TRON untuk secara langsung mentransfer izin Pemilik / Aktif pengguna ke alamat mereka (dengan ambang batas masih di 1), menyebabkan pengguna kehilangan izin ini dan "hak suara" mereka. Dalam hal ini, peretas tidak menggunakan mekanisme multi-tanda tangan untuk mencegah transfer aset tetapi masih disebut multi-tanda tangan berbahaya dalam terminologi umum.
Kedua skenario menghasilkan hasil yang sama: apakah pengguna tetap memiliki izin Pemilik/Aktif atau tidak, mereka kehilangan kendali efektif atas akun, dan peretas mendapatkan kendali penuh, termasuk kemampuan untuk memodifikasi izin dan mentransfer aset.
Penyebab Umum Serangan Tanda Tangan Ganda yang Jahat
Berdasarkan data curian yang dikumpulkan oleh MistTrack, kami telah mengidentifikasi beberapa penyebab umum serangan multi-tanda tangan yang jahat. Tetap waspada jika Anda menghadapi salah satu situasi berikut:
1.Mengunduh dari Sumber yang Salah:Mengklik tautan resmi palsu yang dikirim melalui Telegram, Twitter, atau dari teman bisa mengarah ke dompet palsu dan kebocoran frase kunci pribadi/benih dan serangan tanda tangan ganda jahat.
2.Memasukkan Kunci Pribadi/Frasa Benih di Situs Phishing:Memasukkan kunci pribadi/frasa biji pada situs web phishing yang menawarkan kartu bahan bakar, kartu hadiah, atau layanan VPN, yang mengakibatkan kehilangan kontrol atas akun dompet.
3.Transaksi OTC:Selama transaksi luar bursa, jika seseorang mengambil kunci pribadi/frasa benih atau memperoleh otorisasi akun melalui cara lain, dompet dapat ditanda tangani secara jahat, menyebabkan kerugian aset.
4.Penawaran Penipuan:Penipu bisa memberikan kunci pribadi/frase biji dan mengklaim mereka tidak dapat menarik aset dari dompet, menawarkan hadiah jika Anda membantu. Meskipun ada dana di dompet, Anda tidak akan dapat menariknya jika hak penarikan telah dialihkan ke alamat lain oleh penipu.
5.Tautan Phishing di TRON:Situasi yang kurang umum di mana pengguna mengklik tautan phishing di TRON dan menandatangani data berbahaya, mengakibatkan serangan multi-tanda tangan yang berbahaya.
Ringkasan
Dalam panduan ini, kami telah menggunakan dompet TRON untuk menjelaskan mekanisme tanda tangan multi, proses dan taktik serangan tanda tangan multi yang jahat, dan strategi untuk menghindarinya. Kami berharap ini memberikan pemahaman yang lebih jelas tentang mekanisme tanda tangan multi dan meningkatkan kemampuan Anda untuk mencegah serangan tanda tangan multi yang jahat. Selain itu, ada kasus-kasus khusus di mana pengguna pemula mungkin tidak sengaja mengatur dompet mereka untuk tanda tangan multi karena kesalahan operasional atau salah paham, yang memerlukan tanda tangan ganda untuk transfer. Dalam kasus seperti itu, pengguna harus memenuhi persyaratan tanda tangan multi atau menyesuaikan izin untuk memberikan izin Pemilik/Aktif untuk satu alamat untuk memulihkan fungsi tanda tangan tunggal.
Akhirnya, tim Keamanan SlowMist merekomendasikan pengguna untuk secara rutin memeriksa izin akun mereka untuk adanya ketidaknormalan, mengunduh dompet dari sumber resmi (seperti yang dijelaskan dalam artikel kami panduan tentang dompet palsu dan kebocoran kunci pribadi/seed phrase) , hindari mengklik tautan yang tidak dikenal, dan hindari memasukkan kunci pribadi/frasa benih tanpa kehati-hatian. Selain itu, pasang perangkat lunak antivirus (seperti Kaspersky, AVG) dan pemblokir risiko phishing (seperti Scam Sniffer) untuk meningkatkan keamanan perangkat.
Penafian:
- Artikel ini dicetak ulang dari [SlowMist], Semua hak cipta adalah milik penulis asli [Tim Keamanan SlomMist]. Jika ada keberatan terhadap cetak ulang ini, silakan hubungi Gate Belajartim, dan mereka akan menanganinya dengan segera.
- Penyangkalan Tanggung Jawab: Pandangan dan pendapat yang tercantum dalam artikel ini semata-mata adalah milik penulis dan tidak merupakan saran investasi apa pun.
- Terjemahan artikel ke dalam bahasa lain dilakukan oleh tim Gate Learn. Kecuali disebutkan, menyalin, mendistribusikan, atau menjiplak artikel yang diterjemahkan dilarang.
İlgili makaleler
Bagaimana Melakukan Penelitian Anda Sendiri (DYOR)?
Apa itu Solana?