ÖncekiWeb3 Güvenlik Başlangıç Kılavuzumuzun bölümü, indirme veya cüzdan satın alma riskleri, resmi web sitelerini tanımlama, cüzdanın gerçekliğini doğrulama ve özel anahtar/tohum cümlesinin sızdırılma tehlikeleri konusunda bilgi verdik. "Anahtarlarınız değilse, paralarınız da sizin değil" sözü, özel anahtarlarınız üzerinde kontrolün önemini vurgular; ancak özel anahtar/tohum cümlesinin yalnızca sahip olmanın varlıklarınız üzerinde kontrolü garanti etmediği senaryolar da vardır. Örneğin, cüzdanınız kötü niyetli olarak çoklu imzalı olabilir. MistTrack'in çalınan formlardan topladığı verilere dayanarak, bazı kullanıcılar, kötü niyetli çoklu imza saldırısından sonra neden cüzdanlarında bakiye olmasına rağmen herhangi bir fon transferi yapamadıkları konusunda şaşkın kaldılar. Bu konuda, TRON cüzdanını kullanarak çoklu imza avına ilişkin kavramı, tipik hacker taktiklerini ve kötü niyetli çoklu imza saldırılarını önleme stratejilerini anlatacağız.
Çok imzalı işlemlerin özetiyle başlayalım. Çok imzalı mekanizma, birden fazla kullanıcının ortak olarak tek bir dijital varlık cüzdanının erişimini yönetmesine ve kontrol etmesine olanak tanıyarak cüzdan güvenliğini artırmak için tasarlanmıştır. Bu, bazı yöneticilerin özel anahtarlarını / tohum ifadelerini kaybetmesi veya açığa çıkarması durumunda bile cüzdanın varlıklarının güvende kalabileceği anlamına gelir.
TRON'un çok imzalı izin sistemi, Üye, Tanık ve Aktif olmak üzere üç tür izin etrafında yapılandırılmıştır ve her biri farklı bir amaca hizmet etmektedir:
Sahip İzni:
Tanık İzni:
Bu izin çoğunlukla Süper Temsilcilerle ilgilidir, hesabın Süper Temsilciler seçimine ve oy verme sürecine katılmasına ve ilgili işlemleri yönetmesine izin verir.
Etkin İzin:
Fon transferi yapma ve akıllı sözleşmeleri çağırma gibi rutin işlemler için kullanılır. Bu izin, Sahip izni tarafından ayarlanabilir ve düzenlenebilir ve genellikle belirli görevleri yerine getirmek için hesaplara tahsis edilir. Yetkilendirilmiş eylemlerin bir koleksiyonunu kapsar (örneğin TRX transferleri, varlık staking işlemleri).
Yeni bir hesap oluşturulduğunda otomatik olarak Sahip izni (en yüksek yetki) alır. Hesap sahibi daha sonra izin yapısını ayarlayabilir, hangi adresleri yetkilendireceğini belirleyebilir, bu adreslerin ağırlığını belirleyebilir ve eşik değerlerini yapılandırabilir. Bir eşik, belirli bir işlemi gerçekleştirmek için gereken imzaların sayısını temsil eder. Aşağıdaki diyagramda, 2 eşik, bir işlemin gerçekleştirilebilmesi için 3 yetkilendirilmiş adresin 2'sinin onay vermesi gerektiği anlamına gelir.
(https://support.tronscan.org/hc/article_attachments/29939335264665)
Eğer bir hacker, bir kullanıcının özel anahtarını/tohum cümlesini ele geçirirse ve kullanıcı çoklu imza mekanizmasını kullanmamışsa (yani cüzdan yalnızca kullanıcı tarafından kontrol ediliyorsa), hacker ya adreslerine sahibi/aktif izinler verebilir ya da kullanıcının sahibi/aktif izinlerini kendilerine transfer edebilir. Bu eylemler genellikle kötü niyetli çoklu imza saldırıları olarak adlandırılır, ancak kullanıcının hala sahip olup olmadığına bağlı olarak farklılaştırılabilir:
Çok-imza mekanizmasını sömürmek:Eğer hacker, kullanıcının izinleri aynı kalırken Kendi Sahip/Aktif izinlerini verirse, hesap hem kullanıcı hem de hacker tarafından ortaklaşa yönetilir (2 eşikli). Hem kullanıcının hem de hacker'ın adresleri 1 ağırlığında olur. Kullanıcı özel anahtarı/tohum ifadesine sahip ve Sahip/Aktif izinlerini elinde tutmasına rağmen, varlıklarını transfer edemez çünkü işlem hem kullanıcının hem de hacker'ın adreslerinden imzalar gerektirir.
Çoklu imzalı hesaplar varlık transferlerini yetkilendirmek için birden fazla imzaya ihtiyaç duyarken, bir cüzdana para yatırmak gerekmez. Bir kullanıcı hesap izinlerini düzenli olarak kontrol etmez veya son zamanlarda bir transfer gerçekleştirmediyse, cüzdanlarının yetkilerindeki değişiklikleri farketmeyebilir, sürekli risk oluşturabilir. Hacker'lar, hesap önemli bir varlık biriktirene kadar bekleyerek büyük çaplı bir hırsızlık yapmadan önce bunu istismar edebilir.
TRON'un İzin Yönetimi Tasarımını Kullanarak:Başka bir senaryo, hacker'ların TRON'un izin yönetimi tasarımını kullanarak kullanıcının Sahip/Active izinlerini doğrudan adreslerine (eşiğin hala 1'de olduğu) transfer etmesini içerir, bu da kullanıcının bu izinleri ve "oy hakkını" kaybetmesine neden olur. Bu durumda, hacker varlık transferlerini engellemek için çoklu imza mekanizmasını kullanmıyor, ancak yaygın terimlerde hala kötü niyetli çoklu imza olarak adlandırılıyor.
Her iki senaryo da aynı sonuca yol açar: Kullanıcının Sahip/Aktif izinlerini koruyup korumadığına bakılmaksızın, hesap üzerinde etkili kontrolü kaybeder ve hacker tam kontrol elde eder, izinleri değiştirme ve varlıkları transfer etme yeteneği de dahil olmak üzere.
MistTrack tarafından toplanan çalıntı verilere dayanarak, kötü niyetli çoklu imza saldırılarının yaygın nedenlerini belirledik. Aşağıdaki durumlardan herhangi biriyle karşılaşırsanız dikkatli olun:
1.Yanlış Kaynaklardan İndirme:Telegram, Twitter veya tanıdıklardan gelen sahte resmi bağlantılara tıklamak, sahte cüzdanlara ve ardından özel anahtar / tohum ifadesi sızıntılarına ve kötü niyetli çok imzalı saldırılara yol açabilir.
2.Balıkçılık Sitelerinde Özel Anahtarlar/Başlangıç Cümleleri Girişi:Yakıt kartları, hediye kartları veya VPN hizmetleri sunan sahte web sitelerinde özel anahtarları/seed ifadelerini girmek, cüzdan hesabı üzerinde kontrol kaybına neden olur.
3.OTC İşlemleri:Banka dışı işlemler sırasında, birisi özel anahtarları/tohum ifadelerini ele geçirirse veya hesap yetkilendirmesini diğer yollarla elde ederse, cüzdan kötü niyetli olarak çoklu imzalanabilir ve varlık kaybına neden olabilir.
4.Dolandırıcılık Teklifleri:Dolandırıcılar, cüzdanından varlıkları çekemeyeceklerini iddia ederek özel anahtarları/tohum cümlelerini sağlayabilir ve size yardım ederseniz ödül teklif edebilir. Cüzdanda varlıklar bulunmasına rağmen, dolandırıcı tarafından çekilme hakları başka bir adrese transfer edilmişse, onları çekemezsiniz.
5.TRON'da Olası Dolandırıcılık Bağlantıları:TRON'da kullanıcıların phishing linklerine tıkladığı ve kötü niyetli verileri imzalayarak kötü niyetli çoklu imza saldırısına yol açtığı daha az yaygın bir durum.
Bu kılavuzda, TRON cüzdanını kullanarak çok imza mekanizmasını, kötü niyetli çok imza saldırılarının sürecini ve taktiklerini, bunlardan kaçınma stratejilerini açıkladık. Umarız bu, çok imza mekanizmasının daha net bir anlaşılmasını sağlar ve kötü niyetli çok imza saldırılarını önleme yeteneğinizi artırır. Ayrıca, acemi kullanıcıların operasyonel hatalar veya yanlış anlamalar nedeniyle cüzdanlarını yanlışlıkla çok imza için kurabilecekleri özel durumlar vardır ve transferler için çoklu imza gereksinimlerini karşılamaları veya tek imza işlevselliğini geri yüklemek için Tek Adres'e Owner/Active izinleri vermelidirler.
Son olarak, SlowMist Security ekibi, kullanıcıların düzenli olarak hesap izinlerini herhangi bir anormallik için kontrol etmelerini, cüzdanları resmi kaynaklardan indirmelerini (bizim belirtildiği gibi) önermektedir sahte cüzdanlar ve özel anahtar/seed ifşaları üzerine rehber) ve bilinmeyen bağlantılara tıklamaktan kaçının ve dikkatli olmadan özel anahtarlar/seed ifadeleri girmekten kaçının. Ayrıca, cihaz güvenliğini artırmak için antivirüs yazılımı (örneğin Kaspersky, AVG) ve dolandırıcılık riski engelleyicileri (örneğin Scam Sniffer) kurun.
ÖncekiWeb3 Güvenlik Başlangıç Kılavuzumuzun bölümü, indirme veya cüzdan satın alma riskleri, resmi web sitelerini tanımlama, cüzdanın gerçekliğini doğrulama ve özel anahtar/tohum cümlesinin sızdırılma tehlikeleri konusunda bilgi verdik. "Anahtarlarınız değilse, paralarınız da sizin değil" sözü, özel anahtarlarınız üzerinde kontrolün önemini vurgular; ancak özel anahtar/tohum cümlesinin yalnızca sahip olmanın varlıklarınız üzerinde kontrolü garanti etmediği senaryolar da vardır. Örneğin, cüzdanınız kötü niyetli olarak çoklu imzalı olabilir. MistTrack'in çalınan formlardan topladığı verilere dayanarak, bazı kullanıcılar, kötü niyetli çoklu imza saldırısından sonra neden cüzdanlarında bakiye olmasına rağmen herhangi bir fon transferi yapamadıkları konusunda şaşkın kaldılar. Bu konuda, TRON cüzdanını kullanarak çoklu imza avına ilişkin kavramı, tipik hacker taktiklerini ve kötü niyetli çoklu imza saldırılarını önleme stratejilerini anlatacağız.
Çok imzalı işlemlerin özetiyle başlayalım. Çok imzalı mekanizma, birden fazla kullanıcının ortak olarak tek bir dijital varlık cüzdanının erişimini yönetmesine ve kontrol etmesine olanak tanıyarak cüzdan güvenliğini artırmak için tasarlanmıştır. Bu, bazı yöneticilerin özel anahtarlarını / tohum ifadelerini kaybetmesi veya açığa çıkarması durumunda bile cüzdanın varlıklarının güvende kalabileceği anlamına gelir.
TRON'un çok imzalı izin sistemi, Üye, Tanık ve Aktif olmak üzere üç tür izin etrafında yapılandırılmıştır ve her biri farklı bir amaca hizmet etmektedir:
Sahip İzni:
Tanık İzni:
Bu izin çoğunlukla Süper Temsilcilerle ilgilidir, hesabın Süper Temsilciler seçimine ve oy verme sürecine katılmasına ve ilgili işlemleri yönetmesine izin verir.
Etkin İzin:
Fon transferi yapma ve akıllı sözleşmeleri çağırma gibi rutin işlemler için kullanılır. Bu izin, Sahip izni tarafından ayarlanabilir ve düzenlenebilir ve genellikle belirli görevleri yerine getirmek için hesaplara tahsis edilir. Yetkilendirilmiş eylemlerin bir koleksiyonunu kapsar (örneğin TRX transferleri, varlık staking işlemleri).
Yeni bir hesap oluşturulduğunda otomatik olarak Sahip izni (en yüksek yetki) alır. Hesap sahibi daha sonra izin yapısını ayarlayabilir, hangi adresleri yetkilendireceğini belirleyebilir, bu adreslerin ağırlığını belirleyebilir ve eşik değerlerini yapılandırabilir. Bir eşik, belirli bir işlemi gerçekleştirmek için gereken imzaların sayısını temsil eder. Aşağıdaki diyagramda, 2 eşik, bir işlemin gerçekleştirilebilmesi için 3 yetkilendirilmiş adresin 2'sinin onay vermesi gerektiği anlamına gelir.
(https://support.tronscan.org/hc/article_attachments/29939335264665)
Eğer bir hacker, bir kullanıcının özel anahtarını/tohum cümlesini ele geçirirse ve kullanıcı çoklu imza mekanizmasını kullanmamışsa (yani cüzdan yalnızca kullanıcı tarafından kontrol ediliyorsa), hacker ya adreslerine sahibi/aktif izinler verebilir ya da kullanıcının sahibi/aktif izinlerini kendilerine transfer edebilir. Bu eylemler genellikle kötü niyetli çoklu imza saldırıları olarak adlandırılır, ancak kullanıcının hala sahip olup olmadığına bağlı olarak farklılaştırılabilir:
Çok-imza mekanizmasını sömürmek:Eğer hacker, kullanıcının izinleri aynı kalırken Kendi Sahip/Aktif izinlerini verirse, hesap hem kullanıcı hem de hacker tarafından ortaklaşa yönetilir (2 eşikli). Hem kullanıcının hem de hacker'ın adresleri 1 ağırlığında olur. Kullanıcı özel anahtarı/tohum ifadesine sahip ve Sahip/Aktif izinlerini elinde tutmasına rağmen, varlıklarını transfer edemez çünkü işlem hem kullanıcının hem de hacker'ın adreslerinden imzalar gerektirir.
Çoklu imzalı hesaplar varlık transferlerini yetkilendirmek için birden fazla imzaya ihtiyaç duyarken, bir cüzdana para yatırmak gerekmez. Bir kullanıcı hesap izinlerini düzenli olarak kontrol etmez veya son zamanlarda bir transfer gerçekleştirmediyse, cüzdanlarının yetkilerindeki değişiklikleri farketmeyebilir, sürekli risk oluşturabilir. Hacker'lar, hesap önemli bir varlık biriktirene kadar bekleyerek büyük çaplı bir hırsızlık yapmadan önce bunu istismar edebilir.
TRON'un İzin Yönetimi Tasarımını Kullanarak:Başka bir senaryo, hacker'ların TRON'un izin yönetimi tasarımını kullanarak kullanıcının Sahip/Active izinlerini doğrudan adreslerine (eşiğin hala 1'de olduğu) transfer etmesini içerir, bu da kullanıcının bu izinleri ve "oy hakkını" kaybetmesine neden olur. Bu durumda, hacker varlık transferlerini engellemek için çoklu imza mekanizmasını kullanmıyor, ancak yaygın terimlerde hala kötü niyetli çoklu imza olarak adlandırılıyor.
Her iki senaryo da aynı sonuca yol açar: Kullanıcının Sahip/Aktif izinlerini koruyup korumadığına bakılmaksızın, hesap üzerinde etkili kontrolü kaybeder ve hacker tam kontrol elde eder, izinleri değiştirme ve varlıkları transfer etme yeteneği de dahil olmak üzere.
MistTrack tarafından toplanan çalıntı verilere dayanarak, kötü niyetli çoklu imza saldırılarının yaygın nedenlerini belirledik. Aşağıdaki durumlardan herhangi biriyle karşılaşırsanız dikkatli olun:
1.Yanlış Kaynaklardan İndirme:Telegram, Twitter veya tanıdıklardan gelen sahte resmi bağlantılara tıklamak, sahte cüzdanlara ve ardından özel anahtar / tohum ifadesi sızıntılarına ve kötü niyetli çok imzalı saldırılara yol açabilir.
2.Balıkçılık Sitelerinde Özel Anahtarlar/Başlangıç Cümleleri Girişi:Yakıt kartları, hediye kartları veya VPN hizmetleri sunan sahte web sitelerinde özel anahtarları/seed ifadelerini girmek, cüzdan hesabı üzerinde kontrol kaybına neden olur.
3.OTC İşlemleri:Banka dışı işlemler sırasında, birisi özel anahtarları/tohum ifadelerini ele geçirirse veya hesap yetkilendirmesini diğer yollarla elde ederse, cüzdan kötü niyetli olarak çoklu imzalanabilir ve varlık kaybına neden olabilir.
4.Dolandırıcılık Teklifleri:Dolandırıcılar, cüzdanından varlıkları çekemeyeceklerini iddia ederek özel anahtarları/tohum cümlelerini sağlayabilir ve size yardım ederseniz ödül teklif edebilir. Cüzdanda varlıklar bulunmasına rağmen, dolandırıcı tarafından çekilme hakları başka bir adrese transfer edilmişse, onları çekemezsiniz.
5.TRON'da Olası Dolandırıcılık Bağlantıları:TRON'da kullanıcıların phishing linklerine tıkladığı ve kötü niyetli verileri imzalayarak kötü niyetli çoklu imza saldırısına yol açtığı daha az yaygın bir durum.
Bu kılavuzda, TRON cüzdanını kullanarak çok imza mekanizmasını, kötü niyetli çok imza saldırılarının sürecini ve taktiklerini, bunlardan kaçınma stratejilerini açıkladık. Umarız bu, çok imza mekanizmasının daha net bir anlaşılmasını sağlar ve kötü niyetli çok imza saldırılarını önleme yeteneğinizi artırır. Ayrıca, acemi kullanıcıların operasyonel hatalar veya yanlış anlamalar nedeniyle cüzdanlarını yanlışlıkla çok imza için kurabilecekleri özel durumlar vardır ve transferler için çoklu imza gereksinimlerini karşılamaları veya tek imza işlevselliğini geri yüklemek için Tek Adres'e Owner/Active izinleri vermelidirler.
Son olarak, SlowMist Security ekibi, kullanıcıların düzenli olarak hesap izinlerini herhangi bir anormallik için kontrol etmelerini, cüzdanları resmi kaynaklardan indirmelerini (bizim belirtildiği gibi) önermektedir sahte cüzdanlar ve özel anahtar/seed ifşaları üzerine rehber) ve bilinmeyen bağlantılara tıklamaktan kaçının ve dikkatli olmadan özel anahtarlar/seed ifadeleri girmekten kaçının. Ayrıca, cihaz güvenliğini artırmak için antivirüs yazılımı (örneğin Kaspersky, AVG) ve dolandırıcılık riski engelleyicileri (örneğin Scam Sniffer) kurun.