在之前我們的Web3安全初學者指南的下一部分在前文中,我們介紹了下載或購買錢包的風險、識別官方網站、驗證錢包真實性以及私鑰/種子詞洩露的危險。雖然“不掌握私鑰,則不掌握貨幣”的格言強調了對私鑰的控制的重要性,但存在某些情況下,僅擁有私鑰/種子詞並不能保證對資產的控制。例如,您的錢包可能受到惡意的多簽攻擊。根據MistTrack的被盜表單收集的數據,一些用戶對於為什麼他們的錢包有餘額卻無法轉移資金感到困惑,這是由於惡意的多簽攻擊。在本期中,我們將使用TRON錢包來說明多簽欺騙的概念,包括多簽機制、典型的黑客策略以及預防惡意多簽攻擊的策略。
讓我們從對多重簽名的簡要概述開始。多重簽名機制旨在通過使多個用戶共同管理和控制對單一數字資產錢包的訪問,從而增強錢包的安全性。這意味著即使一些管理員丟失或暴露他們的私鑰/種子短語,錢包的資產仍然可能是安全的。
TRON的多重簽名權限系統是圍繞著三種權限結構的:擁有者、證人和活動,每種權限都有不同的用途:
擁有者權限:
見證權限:
此權限主要與超級代表有關,允許帳戶參與超級代表的選舉和投票過程並管理相關操作。
活動權限:
用於常規操作,如轉移資金和調用智能合約。此權限可以由所有者權限設置和調整,通常分配給執行特定任務的帳戶。它包括一系列授權行動(例如 TRX 轉帳,抵押資產)。
當創建新帳戶時,它會自動獲得擁有者權限(最高權限)。然後,帳戶持有人可以調整其權限結構,確定要授權的地址,設置這些地址的權重,並配置閾值。閾值代表執行特定操作所需的簽名數。在下面的圖表中,閾值為2表示對於執行操作,必須有3個授權地址中的2個簽署。
(https://support.tronscan.org/hc/article_attachments/29939335264665)
如果駭客獲得用戶的私鑰/種子密碼,並且用戶尚未使用多重簽名機制(即錢包完全由用戶控制),駭客可以授予其地址所有者/活動權限,或將用戶的所有者/活動權限轉移到自己名下。這些行為通常被稱為惡意多重簽名攻擊,但可以根據用戶是否仍持有所有者/活動權限來區分。
利用多重簽名機制:如果駭客在用戶的權限保持完整的情況下授予自己所有者/活動權限,該帳戶將由用戶和駭客共同管理(門檻值為2)。用戶和駭客的地址都具有1的權重。即使用戶擁有私鑰/種子短語並擁有所有者/活動權限,他們也無法轉移其資產,因為該交易需要用戶和駭客的地址簽名。
雖然多簽帳戶需要多個簽名來授權資產轉移,但將資金存入錢包則不需要。如果使用者不經常檢查他們的帳戶權限或最近沒有進行過轉帳,他們可能不會注意到錢包授權的變化,從而帶來持續的風險。黑客可能利用這一點,等待帳戶累積了大量資產後進行大規模的盜竊。
使用TRON的權限管理設計:另一種情況是駭客利用TRON的許可權管理設計,直接將使用者的擁有者/活動許可權轉移到他們的位址(閾值仍為1),導致使用者失去這些許可權和他們的“投票權”。在這種情況下,駭客沒有使用多重簽名機制來阻止資產轉移,但在常用術語中仍被稱為惡意多重簽名。
兩種情境都會導致相同的結果:無論用戶是否保留擁有者/活動權限,他們都會失去對帳戶的有效控制,而駭客則獲得完全控制權,包括修改權限和轉移資產的能力。
根據MistTrack收集的被盗數據,我們確定了幾種常見的惡意多重簽名攻擊的原因。如果遇到以下任何情況,請保持警惕:
1.從錯誤的來源下載:點擊通過Telegram、Twitter發送的假官方鏈接,或者通過熟人發送的鏈接,可能導致假冒錢包、私鑰/種子短語外洩和惡意多重簽名攻擊。
2.在釣魚網站輸入私鑰/種子短語:在仿冒網站上輸入私鑰/種子短語,提供燃料卡、禮品卡或VPN服務,導致對錢包帳戶失去控制。
3.OTC交易:在場外交易期間,如果有人截取了私鑰/種子密語或通過其他方式獲得了帳戶授權,錢包可能會被惡意多簽,導致資產損失。
4.詐騙優惠:騙子可能會提供私密金鑰/種子短語並聲稱他們無法從錢包中提取資產,如果你幫助的話,他們會提供獎勵。儘管錢包中存在資金,如果提款權限已被騙子轉移到另一個地址,則無法提取這些資金。
5.TRON 上的釣魚連結:一种较少见的情况是用户在 TRON 上点击钓鱼链接并签署恶意数据,导致恶意多重签名攻击。
在本指南中,我們使用 TRON 錢包來解釋多重簽名機制、惡意多重簽名攻擊的過程和策略,以及避免這些攻擊的策略。我們希望這能更清楚地理解多重簽名機制,並增強您防止惡意多重簽名攻擊的能力。此外,新手用戶可能因操作錯誤或誤解而意外設置他們的錢包進行多重簽名,需要多重簽名進行轉帳。在這種情況下,用戶應該滿足多重簽名的要求,或者調整權限,將所有者/活動權限授予單個地址,以恢復單一簽名功能。
SlowMist Security團隊最後建議用戶定期檢查其帳戶權限是否存在異常,從官方來源下載錢包(如我們所述關於假錢包和私鑰/種子詞洩漏的指南),避免點擊未知連結,謹慎避免輸入私鑰/種子短語。此外,安裝防毒軟體(如卡巴斯基、AVG)和釣魚風險阻擋器(如詐騙檢測器),以提高設備安全性。
在之前我們的Web3安全初學者指南的下一部分在前文中,我們介紹了下載或購買錢包的風險、識別官方網站、驗證錢包真實性以及私鑰/種子詞洩露的危險。雖然“不掌握私鑰,則不掌握貨幣”的格言強調了對私鑰的控制的重要性,但存在某些情況下,僅擁有私鑰/種子詞並不能保證對資產的控制。例如,您的錢包可能受到惡意的多簽攻擊。根據MistTrack的被盜表單收集的數據,一些用戶對於為什麼他們的錢包有餘額卻無法轉移資金感到困惑,這是由於惡意的多簽攻擊。在本期中,我們將使用TRON錢包來說明多簽欺騙的概念,包括多簽機制、典型的黑客策略以及預防惡意多簽攻擊的策略。
讓我們從對多重簽名的簡要概述開始。多重簽名機制旨在通過使多個用戶共同管理和控制對單一數字資產錢包的訪問,從而增強錢包的安全性。這意味著即使一些管理員丟失或暴露他們的私鑰/種子短語,錢包的資產仍然可能是安全的。
TRON的多重簽名權限系統是圍繞著三種權限結構的:擁有者、證人和活動,每種權限都有不同的用途:
擁有者權限:
見證權限:
此權限主要與超級代表有關,允許帳戶參與超級代表的選舉和投票過程並管理相關操作。
活動權限:
用於常規操作,如轉移資金和調用智能合約。此權限可以由所有者權限設置和調整,通常分配給執行特定任務的帳戶。它包括一系列授權行動(例如 TRX 轉帳,抵押資產)。
當創建新帳戶時,它會自動獲得擁有者權限(最高權限)。然後,帳戶持有人可以調整其權限結構,確定要授權的地址,設置這些地址的權重,並配置閾值。閾值代表執行特定操作所需的簽名數。在下面的圖表中,閾值為2表示對於執行操作,必須有3個授權地址中的2個簽署。
(https://support.tronscan.org/hc/article_attachments/29939335264665)
如果駭客獲得用戶的私鑰/種子密碼,並且用戶尚未使用多重簽名機制(即錢包完全由用戶控制),駭客可以授予其地址所有者/活動權限,或將用戶的所有者/活動權限轉移到自己名下。這些行為通常被稱為惡意多重簽名攻擊,但可以根據用戶是否仍持有所有者/活動權限來區分。
利用多重簽名機制:如果駭客在用戶的權限保持完整的情況下授予自己所有者/活動權限,該帳戶將由用戶和駭客共同管理(門檻值為2)。用戶和駭客的地址都具有1的權重。即使用戶擁有私鑰/種子短語並擁有所有者/活動權限,他們也無法轉移其資產,因為該交易需要用戶和駭客的地址簽名。
雖然多簽帳戶需要多個簽名來授權資產轉移,但將資金存入錢包則不需要。如果使用者不經常檢查他們的帳戶權限或最近沒有進行過轉帳,他們可能不會注意到錢包授權的變化,從而帶來持續的風險。黑客可能利用這一點,等待帳戶累積了大量資產後進行大規模的盜竊。
使用TRON的權限管理設計:另一種情況是駭客利用TRON的許可權管理設計,直接將使用者的擁有者/活動許可權轉移到他們的位址(閾值仍為1),導致使用者失去這些許可權和他們的“投票權”。在這種情況下,駭客沒有使用多重簽名機制來阻止資產轉移,但在常用術語中仍被稱為惡意多重簽名。
兩種情境都會導致相同的結果:無論用戶是否保留擁有者/活動權限,他們都會失去對帳戶的有效控制,而駭客則獲得完全控制權,包括修改權限和轉移資產的能力。
根據MistTrack收集的被盗數據,我們確定了幾種常見的惡意多重簽名攻擊的原因。如果遇到以下任何情況,請保持警惕:
1.從錯誤的來源下載:點擊通過Telegram、Twitter發送的假官方鏈接,或者通過熟人發送的鏈接,可能導致假冒錢包、私鑰/種子短語外洩和惡意多重簽名攻擊。
2.在釣魚網站輸入私鑰/種子短語:在仿冒網站上輸入私鑰/種子短語,提供燃料卡、禮品卡或VPN服務,導致對錢包帳戶失去控制。
3.OTC交易:在場外交易期間,如果有人截取了私鑰/種子密語或通過其他方式獲得了帳戶授權,錢包可能會被惡意多簽,導致資產損失。
4.詐騙優惠:騙子可能會提供私密金鑰/種子短語並聲稱他們無法從錢包中提取資產,如果你幫助的話,他們會提供獎勵。儘管錢包中存在資金,如果提款權限已被騙子轉移到另一個地址,則無法提取這些資金。
5.TRON 上的釣魚連結:一种较少见的情况是用户在 TRON 上点击钓鱼链接并签署恶意数据,导致恶意多重签名攻击。
在本指南中,我們使用 TRON 錢包來解釋多重簽名機制、惡意多重簽名攻擊的過程和策略,以及避免這些攻擊的策略。我們希望這能更清楚地理解多重簽名機制,並增強您防止惡意多重簽名攻擊的能力。此外,新手用戶可能因操作錯誤或誤解而意外設置他們的錢包進行多重簽名,需要多重簽名進行轉帳。在這種情況下,用戶應該滿足多重簽名的要求,或者調整權限,將所有者/活動權限授予單個地址,以恢復單一簽名功能。
SlowMist Security團隊最後建議用戶定期檢查其帳戶權限是否存在異常,從官方來源下載錢包(如我們所述關於假錢包和私鑰/種子詞洩漏的指南),避免點擊未知連結,謹慎避免輸入私鑰/種子短語。此外,安裝防毒軟體(如卡巴斯基、AVG)和釣魚風險阻擋器(如詐騙檢測器),以提高設備安全性。