亚洲乱码中文字幕综合,中国熟女仑乱hd,亚洲精品乱拍国产一区二区三区,一本大道卡一卡二卡三乱码全集资源,又粗又黄又硬又爽的免费视频

當(dāng)前位置:主頁(yè) > 區(qū)塊鏈 > 錢(qián)包知識(shí) > Web3避坑指南

Web3 安全入門(mén)避坑指南(錢(qián)包被惡意多簽風(fēng)險(xiǎn)分析)

2025-02-10 13:34:51 | 來(lái)源: | 作者:佚名
本期我們將以 TRON 錢(qián)包為例,講解多簽釣魚(yú)的相關(guān)知識(shí),包括多簽機(jī)制、黑客的常規(guī)操作及如何避免錢(qián)包被惡意多簽等內(nèi)容

背景

在上一期 Web3 安全入門(mén)避坑指南中,我們主要講解下載/購(gòu)買(mǎi)錢(qián)包時(shí)的風(fēng)險(xiǎn),找到真官網(wǎng)和驗(yàn)證錢(qián)包真?zhèn)蔚姆椒ǎ约八借€/助記詞的泄露風(fēng)險(xiǎn)。我們常說(shuō) “Not your keys, not your coins”,但也存在即使你有私鑰/助記詞,也無(wú)法控制自己資產(chǎn)的情況,即錢(qián)包被惡意多簽了。結(jié)合我們收集到的 MistTrack 被盜表單,一些用戶(hù)的錢(qián)包被惡意多簽后,不明白為什么自己錢(qián)包賬戶(hù)里還有余額,卻無(wú)法把資金轉(zhuǎn)出。因此,本期我們將以 TRON 錢(qián)包為例,講解多簽釣魚(yú)的相關(guān)知識(shí),包括多簽機(jī)制、黑客的常規(guī)操作及如何避免錢(qián)包被惡意多簽等內(nèi)容。

多簽機(jī)制

我們先簡(jiǎn)單解釋下什么是多簽,多簽機(jī)制的本意是為了使得錢(qián)包更安全,允許多個(gè)用戶(hù)共同管理和控制同一個(gè)數(shù)字資產(chǎn)錢(qián)包的訪問(wèn)和使用權(quán)限。盡管部分管理者丟失或泄露了私鑰/助記詞,錢(qián)包里的資產(chǎn)也不一定會(huì)受損。

TRON 的多重簽名權(quán)限系統(tǒng)設(shè)計(jì)了三種不同的權(quán)限:Owner、Witness 和 Active,每種權(quán)限都有特定的功能和用途。

Owner 權(quán)限

  • 擁有執(zhí)行所有合約和操作的最高權(quán)限;
  • 只有擁有該權(quán)限才能修改其他權(quán)限,包括添加或移除其他簽名者;
  • 創(chuàng)建新賬戶(hù)后,默認(rèn)為賬戶(hù)本體擁有該權(quán)限。

Witness 權(quán)限

這個(gè)權(quán)限主要與超級(jí)代表(Super Representatives) 相關(guān),擁有該權(quán)限的賬戶(hù)能夠參與超級(jí)代表的選舉和投票,管理與超級(jí)代表相關(guān)的操作。

Active 權(quán)限

用于日常操作,例如轉(zhuǎn)賬和調(diào)用智能合約。這個(gè)權(quán)限可以由 Owner 權(quán)限設(shè)定和修改,常用于分配給需要執(zhí)行特定任務(wù)的賬戶(hù),它是若干授權(quán)操作(比如 TRX 轉(zhuǎn)賬、質(zhì)押資產(chǎn))的一個(gè)集合。

上文中提到,新建賬戶(hù)時(shí),該賬戶(hù)的地址會(huì)默認(rèn)擁有 Owner 權(quán)限(最高權(quán)限),可以調(diào)整賬戶(hù)的權(quán)限結(jié)構(gòu),選擇將該賬戶(hù)的權(quán)限授權(quán)給哪些地址,規(guī)定這些地址所占權(quán)重的大小,以及設(shè)置閾值。閾值是指需要簽名方權(quán)重到達(dá)多少才能執(zhí)行特定操作。在下圖中,閾值設(shè)置為 2,3 個(gè)被授權(quán)地址的權(quán)重都為 1,那么在執(zhí)行特定操作時(shí),只要有 2 個(gè)簽名方的確認(rèn),這個(gè)操作就可以生效。

(https://support.tronscan.org/hc/article_attachments/29939335264665)

惡意多簽的過(guò)程

黑客獲取用戶(hù)私鑰/助記詞后,如果用戶(hù)沒(méi)有使用多簽機(jī)制(即該錢(qián)包賬戶(hù)僅由用戶(hù)一人控制),黑客便可以將 Owner/Active 權(quán)限也授權(quán)給自己的地址或者將用戶(hù)的 Owner/Active 權(quán)限轉(zhuǎn)移給自己,黑客的這兩種操作通常都被大家稱(chēng)為惡意多簽,但其實(shí)這是一個(gè)廣義的說(shuō)法,實(shí)際上,可以根據(jù)用戶(hù)是否還擁有 Owner/Active 權(quán)限來(lái)區(qū)分:

利用多簽機(jī)制

下圖中,用戶(hù)的 Owner/Active 權(quán)限未被移除,黑客給自己的地址授權(quán)了 Owner/Active 權(quán)限,此時(shí)賬戶(hù)由用戶(hù)和黑客共同控制(閾值為 2),用戶(hù)地址和黑客地址的權(quán)重都為 1。用戶(hù)雖然持有私鑰/助記詞,也有 Owner/Active 權(quán)限,但無(wú)法轉(zhuǎn)移自己的資產(chǎn),因?yàn)橛脩?hù)發(fā)起轉(zhuǎn)出資產(chǎn)請(qǐng)求時(shí),需要用戶(hù)和黑客的地址都簽名,這個(gè)操作才能正常執(zhí)行。

雖然被多簽的賬戶(hù)執(zhí)行轉(zhuǎn)出資產(chǎn)的操作需要多方簽名的確認(rèn)才可以實(shí)現(xiàn),但是向錢(qián)包賬戶(hù)入賬是不需要多方簽名的。如果用戶(hù)沒(méi)有定期檢查賬戶(hù)權(quán)限情況的習(xí)慣或者近期沒(méi)有轉(zhuǎn)出操作的話,一般不會(huì)發(fā)現(xiàn)自己錢(qián)包賬戶(hù)的授權(quán)被更改,那么便持續(xù)受損。如果錢(qián)包內(nèi)的資產(chǎn)不多,黑客可能會(huì)放長(zhǎng)線釣大魚(yú),等待該賬戶(hù)積累了一定數(shù)字資產(chǎn)后,再一次性盜取所有數(shù)字資產(chǎn)。

利用TRON的權(quán)限管理設(shè)計(jì)機(jī)制

還有一種情況是黑客利用 TRON 的權(quán)限管理設(shè)計(jì)機(jī)制,直接將用戶(hù)的 Owner/Active 權(quán)限轉(zhuǎn)移給黑客地址(閾值仍為 1),使得用戶(hù)失去 Owner/Active 權(quán)限,連“投票權(quán)”都沒(méi)有了。需注意,此處黑客并不是利用多簽機(jī)制使得用戶(hù)無(wú)法轉(zhuǎn)移資產(chǎn),但大家習(xí)慣上稱(chēng)這種情況也為錢(qián)包被惡意多簽。

以上兩種情況造成的結(jié)果是一樣的,無(wú)論用戶(hù)是否還擁有 Owner/Active 權(quán)限,都失去了對(duì)該賬戶(hù)的實(shí)際控制權(quán),黑客地址獲得了賬戶(hù)的最高權(quán)限,可實(shí)現(xiàn)更改賬戶(hù)權(quán)限、轉(zhuǎn)移資產(chǎn)等操作。

惡意多簽的途徑

結(jié)合 MistTrack 收集到的被盜表單,我們總結(jié)出了幾種錢(qián)包被惡意多簽的常見(jiàn)原因,希望用戶(hù)遇到以下幾種情況時(shí),提高警惕:

1. 在下載錢(qián)包時(shí),未能找到正確的途徑,點(diǎn)擊了電報(bào)、推特、網(wǎng)友發(fā)送的假官網(wǎng)鏈接,下載到假錢(qián)包,結(jié)果私鑰/助記詞泄露,錢(qián)包被惡意多簽。

2. 用戶(hù)在一些出售加油卡、禮品卡、VPN 服務(wù)的釣魚(yú)充值網(wǎng)站輸入了私鑰/助記詞,結(jié)果失去自己錢(qián)包賬戶(hù)的控制權(quán)。

3. OTC 交易時(shí),被有心之人拍到私鑰/助記詞或以某手段獲取賬戶(hù)的授權(quán),隨后錢(qián)包被惡意多簽,資產(chǎn)受損。

4. 一些騙子把私鑰/助記詞提供給你,稱(chēng)他無(wú)法提取錢(qián)包賬戶(hù)里的資產(chǎn),如果你能幫忙的話可以給你酬勞。雖然這個(gè)私鑰/助記詞對(duì)應(yīng)的錢(qián)包地址確實(shí)存在資金,但無(wú)論你給多少手續(xù)費(fèi)、手速多快都提不走,因?yàn)樘釒艡?quán)限被騙子配置給了另一個(gè)地址。

5. 還有一種較為少見(jiàn)的情況是用戶(hù)在 TRON 上點(diǎn)擊了釣魚(yú)鏈接,簽名了惡意的數(shù)據(jù),隨后錢(qián)包被惡意多簽。

總結(jié)

在本期指南中,我們主要以 TRON 錢(qián)包為例,講解了多簽機(jī)制、黑客實(shí)施惡意多簽的過(guò)程和套路,希望幫助大家加深對(duì)多簽機(jī)制的理解和提高防范錢(qián)包被惡意多簽的能力。當(dāng)然,除了被惡意多簽的情形之外,還存在一些比較特別的案例,有的新手用戶(hù)可能因操作不慎或缺乏了解,誤將錢(qián)包設(shè)置成了多簽,導(dǎo)致需要多個(gè)簽名才能進(jìn)行轉(zhuǎn)賬。此時(shí),用戶(hù)僅需滿(mǎn)足多簽要求或在權(quán)限管理處將 Owner/Active 權(quán)限只授權(quán)給一個(gè)地址,恢復(fù)單簽即可。

最后,慢霧安全團(tuán)隊(duì)建議廣大用戶(hù)定期檢查賬戶(hù)權(quán)限,查看是否有異常;從官方途徑下載錢(qián)包,我們?cè)赪eb3 安全入門(mén)避坑指南|假錢(qián)包與私鑰助記詞泄露風(fēng)險(xiǎn)里講過(guò)如何找到正確的官網(wǎng)和驗(yàn)證錢(qián)包的真?zhèn)?;不點(diǎn)擊不明鏈接,更不輕易輸入私鑰/助記詞;安裝殺毒軟件(如卡巴斯基、AVG 等)和釣魚(yú)風(fēng)險(xiǎn)阻斷插件(如 Scam Sniffer),提高設(shè)備安全性。

聲明:文章內(nèi)容不代表本站觀點(diǎn)及立場(chǎng),不構(gòu)成本平臺(tái)任何投資建議。本文內(nèi)容僅供參考,風(fēng)險(xiǎn)自擔(dān)!
Tag:Web3   避坑指南   多簽  

你可能感興趣的文章

幣圈快訊

  • 瑞典上市公司H100Group再融資5400萬(wàn)美元用于比特幣儲(chǔ)備,累計(jì)籌資達(dá)9600萬(wàn)美元

    2025-07-09 14:49
    ChainCatcher消息,據(jù)瑞典上市公司H100Group官方披露,該公司已通過(guò)執(zhí)行第六輪和第七輪融資額外籌集了5.16億瑞典克朗(約5400萬(wàn)美元),資金將用于公司比特幣儲(chǔ)備戰(zhàn)略框架內(nèi)的投資機(jī)會(huì),這兩輪融資最初于6月16日宣布。 截至目前,H100Group累計(jì)籌集資金已增至9.21億瑞典克朗(9600萬(wàn)美元)。
  • 火幣HTX將直播揭秘:算法穩(wěn)定幣如何引領(lǐng)金融新范式?

    2025-07-09 14:47
    ChainCatcher消息,據(jù)官方社媒消息,火幣HTX將于今日20時(shí)舉辦“穩(wěn)定幣新紀(jì)元開(kāi)啟:算法錨定掀起范式革命,重塑全球貨幣秩序!“主題直播。USDD2.0、RWA.LTD項(xiàng)目方,以及北海、Harper、Riconi等加密KOL將受邀出席,共同探討算法穩(wěn)定幣如何影響全球金融體系,以及未來(lái)發(fā)展趨勢(shì)等話題。此次活動(dòng)通過(guò)火幣直播、XSpace同步進(jìn)行。
  • RippleCEO將正式向美國(guó)參議院介紹XRP

    2025-07-09 14:28
    金色財(cái)經(jīng)報(bào)道,Ripple首席執(zhí)行官布拉德·加林豪斯(BradGarlinghouse)將于今日晚些時(shí)候向美國(guó)參議院介紹XRP,重點(diǎn)強(qiáng)調(diào)該代幣的技術(shù)優(yōu)勢(shì)和實(shí)用性。加林豪斯昨日在X平臺(tái)分享了一份PDF鏈接,內(nèi)容為其為即將舉行的參議院加密貨幣市場(chǎng)結(jié)構(gòu)聽(tīng)證會(huì)準(zhǔn)備的發(fā)言稿。Ripple公司首席執(zhí)行官的證詞圍繞“構(gòu)建明天的數(shù)字資產(chǎn)市場(chǎng)”這一主題展開(kāi)。他的發(fā)言首先向參議院銀行、住房和城市事務(wù)委員會(huì)的成員致以問(wèn)候。他強(qiáng)調(diào)了該公司的全球影響力,以及其在代表金融機(jī)構(gòu)(包括銀行)促進(jìn)跨境支付方面的作用。
  • Bithumb及其他韓國(guó)DAXA成員將集體下架ALEX代幣

    2025-07-09 14:26
    ChainCatcher消息,據(jù)官方公告,韓國(guó)加密交易所Bithumb宣布,韓國(guó)數(shù)字資產(chǎn)交易所協(xié)會(huì)(DAXA)成員計(jì)劃終止對(duì)ALEX的交易支持。 Bithumb交易所公告顯示,將于8月11日停止ALEX交易,9月11日關(guān)閉提現(xiàn)功能。交易所表示,盡管項(xiàng)目方提交說(shuō)明材料,但未能解決交易風(fēng)險(xiǎn)警示問(wèn)題,經(jīng)評(píng)估認(rèn)為該代幣不符合持續(xù)交易標(biāo)準(zhǔn)。
  • Bithumb及其他韓國(guó)DAXA成員將下架ALEX代幣

    2025-07-09 14:23
    金色財(cái)經(jīng)報(bào)道,據(jù)官方公告,韓國(guó)加密交易所Bithumb宣布,韓國(guó)數(shù)字資產(chǎn)交易所協(xié)會(huì)(DAXA)成員計(jì)劃終止對(duì)ALEX的交易支持,Bithumb預(yù)計(jì)于8月11日終止對(duì)ALEX的交易支持,9月11日終止對(duì)ALEX的提現(xiàn)支持。Bithumb表示,盡管項(xiàng)目方提交了相關(guān)說(shuō)明材料,但未能解決交易風(fēng)險(xiǎn)警示的原因,經(jīng)綜合評(píng)估項(xiàng)目實(shí)質(zhì)性、可持續(xù)性及安全相關(guān)因素后,認(rèn)為該代幣不符合繼續(xù)交易支持的標(biāo)準(zhǔn)。
  • 查看更多