Nền tảng

Trong phần trước của Hướng dẫn bảo mật Web3, chúng ta đã thảo luận về các rủi ro liên quan đến việc tải xuống hoặc mua ví tiền, cách tìm kiếm trang web chính thức, phương pháp xác minh tính xác thực của ví tiền và các nguy hiểm của việc rò rỉ khóa riêng tư / cụm từ gốc. Cụm từ “Không phải khóa của bạn, không phải đồng xu của bạn” nhấn mạnh tầm quan trọng của việc kiểm soát khóa riêng tư của bạn. Tuy nhiên, có những tình huống mà thậm chí việc sở hữu khóa riêng tư hoặc cụm từ gốc cũng không đảm bảo việc kiểm soát tài sản của bạn, chẳng hạn như khi một ví tiền bị tấn công bởi một thiết lập đa chữ ký độc hại.

Dựa trên dữ liệu thu thập từ báo cáo về các khoản tiền bị đánh cắp của MistTrack, một số người dùng phát hiện rằng ví tiền của họ chứa các khoản tiền nhưng không thể chuyển chúng do cấu hình đa chữ ký độc hại. Trong hướng dẫn này, chúng tôi sử dụng ví TRON làm ví dụ để giải thích khái niệm về lừa đảo đa chữ ký, cơ chế của hệ thống đa chữ ký, các chiêu thức thông thường được sử dụng bởi hacker và các chiến lược để ngăn chặn ví tiền của bạn bị cấu hình độc hại với các thiết lập đa chữ ký.

Cơ chế đa chữ ký

Cơ chế đa chữ ký (multisig) được thiết kế để tăng cường an ninh ví tiền bằng cách cho phép nhiều người dùng cùng quản lý và kiểm soát quyền truy cập vào ví tiền số. Thiết lập này có nghĩa là ngay cả khi một số quản lý mất hoặc rò rỉ khóa riêng tư/seed phrases của họ, tài sản trong ví vẫn có thể được bảo mật.

Hệ thống đa chữ ký của TRON bao gồm ba cấp độ cho phép khác nhau: Chủ sở hữu, Nhân chứng và Hoạt động, mỗi cấp độ phục vụ cho các chức năng và mục đích cụ thể.

Quyền sở hữu:

• Giữ cấp độ cao nhất của quyền lực, có khả năng thực hiện tất cả hợp đồng và hoạt động.

• Chỉ chủ sở hữu mới có thể sửa đổi các quyền khác, bao gồm việc thêm hoặc xóa người ký.

• Khi một tài khoản mới được tạo, tài khoản đó sẽ mặc định được gán quyền sở hữu.

Quyền chứng kiến:

• Chủ yếu liên quan đến Đại diện Siêu, quyền này cho phép một tài khoản tham gia vào quá trình bầu cử và bỏ phiếu cho Đại diện Siêu, cũng như quản lý các hoạt động liên quan đến chúng.

Quyền hoạt động:

• Được sử dụng cho các hoạt động hàng ngày như chuyển khoản và thực hiện hợp đồng thông minh. Chủ sở hữu có thể thiết lập và sửa đổi các quyền này, thường là gán chúng cho các tài khoản cần thực hiện các nhiệm vụ cụ thể. Quyền hoạt động bao gồm một loạt các hành động được ủy quyền, chẳng hạn như chuyển TRX và đặt cược tài sản.

Như đã đề cập trước đó, địa chỉ tài khoản mới nhận tự động quyền sở hữu (cấp độ cao nhất) theo mặc định. Chủ sở hữu sau đó có thể điều chỉnh cấu trúc quyền của tài khoản, quyết định địa chỉ nào nhận quyền, trọng lượng của các quyền này và thiết lập ngưỡng. Ngưỡng quy định trọng lượng chữ ký cần thiết để thực hiện các hành động cụ thể. Ví dụ, nếu ngưỡng được đặt là 2 và mỗi địa chỉ được ủy quyền có trọng lượng 1, thì ít nhất hai người ký phải phê duyệt để thực hiện hoạt động.

Quy trình đồng ký đa bên độc hại

Khi tin tặc có được khóa riêng hoặc cụm từ hạt giống của người dùng và người dùng chưa triển khai cơ chế đa chữ ký (nghĩa là ví chỉ do người dùng kiểm soát), tin tặc có thể tự cấp quyền Chủ sở hữu / Hoạt động hoặc chuyển quyền Chủ sở hữu / Hoạt động của người dùng đến địa chỉ riêng của họ. Những hành động này thường được gọi là đa chữ ký độc hại, nhưng thuật ngữ này có thể được định nghĩa rộng rãi. Trong thực tế, tình huống có thể được phân loại dựa trên việc người dùng vẫn giữ lại bất kỳ quyền Chủ sở hữu / Hoạt động nào:

Tận dụng Cơ chế Chữ ký đa bên

Trong tình huống được mô tả dưới đây, quyền sở hữu/hoạt động của người dùng vẫn chưa bị loại bỏ; thay vào đó, kẻ tấn công đã thêm địa chỉ của họ vào danh sách các bên được ủy quyền sở hữu/hoạt động. Tài khoản hiện đang được kiểm soát chung bởi người dùng và kẻ tấn công, với ngưỡng được thiết lập là 2. Cả địa chỉ của người dùng và kẻ tấn công đều có trọng số là 1. Mặc dù người dùng có chứng từ cá nhân/cụm từ khóa và vẫn giữ quyền sở hữu/hoạt động, họ không thể chuyển giao tài sản của mình. Điều này bởi vì mọi yêu cầu chuyển giao tài sản đều cần sự chấp thuận của cả người dùng và kẻ tấn công, vì cả hai chữ ký đều cần thiết cho thao tác tiếp tục.

Trong quá trình chuyển tài sản từ ví tiền đa chữ ký yêu cầu nhiều chữ ký, việc gửi tiền vào ví không cần. Nếu người dùng không kiểm tra thường xuyên quyền hạn tài khoản của mình hoặc không thực hiện bất kỳ giao dịch gần đây nào, họ có thể không nhận ra sự thay đổi về quyền hạn của ví, dẫn đến mất mát kéo dài. Nếu ví chỉ chứa một số lượng nhỏ tài sản, hacker có thể đợi cho đến khi tài khoản tích lũy thêm tài sản trước khi đánh cắp tất cả mọi thứ cùng một lúc.

Khai thác Hệ thống Quản lý Quyền của TRON

Trong một kịch bản khác, tin tặc khai thác hệ thống quản lý quyền của TRON bằng cách chuyển trực tiếp quyền Chủ sở hữu / Hoạt động của người dùng đến địa chỉ của tin tặc, với ngưỡng vẫn được đặt ở mức 1. Hành động này tước quyền Chủ sở hữu / Hoạt động của người dùng, loại bỏ hiệu quả quyền kiểm soát của họ đối với tài khoản, thậm chí cả "quyền biểu quyết". Mặc dù về mặt kỹ thuật, đây không phải là trường hợp đa chữ ký độc hại, nhưng nó thường được gọi là như vậy.

Trong cả hai trường hợp, cho dù người dùng giữ bất kỳ quyền sở hữu/hoạt động nào hay không, họ đều mất quyền kiểm soát thực tế trên tài khoản. Hacker, hiện đang sở hữu quyền hạn cao nhất, có thể thay đổi cài đặt tài khoản và chuyển tài sản, khiến chủ sở hữu hợp pháp không thể quản lý ví tiền của họ.

Phương pháp tấn công đa chữ ký độc hại

Dựa trên dữ liệu thu thập từ báo cáo về vốn bị đánh cắp của MistTrack, chúng tôi đã xác định được một số nguyên nhân phổ biến của các cuộc tấn công đa chữ ký độc hại. Người dùng nên cảnh giác trong những tình huống sau:

1. Tải xuống Ví tiền giả: Người dùng có thể tải xuống ví tiền giả bằng cách nhấp vào liên kết đến các trang web gian lận được gửi qua Telegram, Twitter hoặc nguồn khác. Điều này có thể dẫn đến rò rỉ khóa riêng tư hoặc cụm từ gốc, dẫn đến các cuộc tấn công đa chữ ký độc hại.

2. Nhập Private Keys trên các trang web lừa đảo: Người dùng nếu nhập Private Keys hoặc seed phrases của mình trên các trang web lừa đảo cung cấp dịch vụ như thẻ nhiên liệu, thẻ quà tặng hoặc VPN có thể mất quyền kiểm soát ví tiền của họ.

3. Giao dịch OTC: Trong quá trình giao dịch OTC (trên quầy), ai đó có thể bắt hoặc lấy đi quyền sở hữu khóa riêng tư hoặc quyền sở hữu, dẫn đến một cuộc tấn công đa chữ ký độc hại.

4. Lừa đảo liên quan đến khóa riêng tư: Những kẻ lừa đảo có thể cung cấp khóa riêng, tuyên bố rằng họ không thể rút tài sản và đưa ra phần thưởng cho sự hỗ trợ. Mặc dù ví được liên kết dường như có tiền, quyền rút tiền được định cấu hình cho một địa chỉ khác, ngăn chặn bất kỳ chuyển khoản nào.

1. Liên kết lừa đảo trên TRON: Người dùng có thể nhấp vào các liên kết lừa đảo trên TRON và ký dữ liệu độc hại, dẫn đến thiết lập đa chữ ký độc hại.

Kết luận

Trong hướng dẫn này, chúng tôi sử dụng ví TRON làm ví dụ để giải thích cơ chế đa chữ ký, cách mà hacker thực hiện các cuộc tấn công đa chữ ký độc hại và các chiến thuật thông thường được sử dụng. Thông tin này nhằm tăng cường hiểu biết và cải thiện phòng chống các cuộc tấn công đa chữ ký độc hại. Ngoài ra, một số người dùng, đặc biệt là người mới bắt đầu, có thể vô tình cấu hình ví của họ cho đa chữ ký, yêu cầu nhiều chữ ký cho các giao dịch chuyển tiền. Trong những trường hợp như vậy, người dùng cần đáp ứng các yêu cầu đa chữ ký hoặc quay lại chữ ký đơn bằng cách chỉ định quyền sở hữu / hoạt động cho một địa chỉ duy nhất.

Thông báo từ Gate.io

1. Bài viết này được sao chép lại từ [ ]. Tất cả bản quyền thuộc về tác giả gốc [**]. Nếu có ý kiến phản đối với việc tái bản này, vui lòng liên hệ Học cửa hàng Gateđội ngũ, và họ sẽ xử lý nhanh chóng.
2. Tuyên bố từ chối trách nhiệm: Các quan điểm và ý kiến được thể hiện trong bài viết này chỉ là của tác giả và không cấu thành bất kỳ lời khuyên đầu tư nào.
3. Các bản dịch của bài viết sang các ngôn ngữ khác được thực hiện bởi nhóm Gate Learn. Trừ khi được đề cập, việc sao chép, phân phối hoặc đạo văn các bài viết đã được dịch là cấm.