針對波場錢包的多簽騙局真相如何,用戶如何保障資產安全?-報道

發(fā)布時間:2023-03-06 19:49:20  |  來源:騰訊網  

原文作者:amanda 來源:深潮

近期,波場 TRON 和在 TokenPocket 的社區(qū)均有用戶反映,自己的錢包被莫名其妙設置了「多簽」,而無法順利進行加密資產的收發(fā),更嚴重的是錢包內的資產被盜。


(資料圖)

前述用戶遭遇的正是針對波場 TronLink 錢包和 TokenPocket 錢包的多簽騙局。

對于剛踏入加密世界的新人們而言,如何正確使用自己的錢包永遠都是一個繞不開的話題。整個加密世界就像一個黑暗森林,圍繞著錢包的欺詐也層出不窮,用戶稍有不慎就會失去自己的資產。

那么這個多簽機制到底是什么,為何一些用戶會中招?是波場 TRON 的安全機制設計有問題,還是欺詐者有意為之的陷阱?如果你在使用前述錢包,或者希望搞清楚波場 TRON 的多簽機制原理以避免遭遇騙局,這篇文章將會對你有所幫助。

被多簽的原因是什么?

我們可以先了解下波場 TRON 的多簽機制。

一般來說,你在錢包中的每一筆交易,都需要自己進行「簽名」才會被執(zhí)行;這種簽名可以是輸入自己設置的密碼,也可以是手機上的輸入指紋。在這種情況下,「你單獨決定賬戶里的資金去留」。僅需自己簽名,就可以完成自己賬戶中的加密資產轉移。

但也存在「多人共同決定賬戶資金去留」的場景,例如團隊和公司的共同加密資產,或是你為了保險起見,自己有 2 個錢包,當 2 個錢包都同意交易時,這筆交易才會被通過。在這樣的情況下,一個帳戶可以由多個私鑰管理,并且在一個帳戶中創(chuàng)建的交易可以由多個私鑰簽名,實現多人以不同的權重共同管理加密資產。

而波場 TRON 的 TronLink 錢包以及 TokenPocket 錢包界面中,都可以設置多簽機制,以滿足不同的使用場景和需要。

圖片來源:波場錢包文檔

明白了何為多簽,我們再來看看用戶們被多簽可能的原因。

第一種,用戶主動設置了多簽簽名

一些新手在摸索錢包功能時誤操作設置成了多簽。當資產轉賬時,由于設置了多簽,需要至少 2 個錢包地址共同完成對這筆交易的簽名和確認,此時僅憑用戶手上的 1 個錢包,無法完整的達成整個交易,導致交易受阻。

這種狀況是用戶誤操作所致, 用戶的資產仍然是安全的。這種情況解決起來比較簡單,用戶僅需在交易時滿足多簽要求,或是取消多簽的設置用單獨簽名執(zhí)行交易即可。

第二種,用戶私鑰泄露,導致被別人多簽

最常見的情形是用戶通過釣魚網站下載到假錢包。用戶使用假的錢包軟件時也會生成私鑰和助記詞。

但假錢包可能竊取私鑰/助記詞,也就意味著用戶錢包的控制權旁落;此時,通過多簽機制,竊取者可以將他和你的地址一起設置成多簽,當用戶單獨轉賬時會發(fā)現無法順利進行。而對方由于有你的私鑰,再配合他的多簽賬戶,從而轉走你的資金。

第三種,他人釣魚故意泄露私鑰,導致轉入資金無法取回

這種方式雖然古老,但也是新手們的重災區(qū)。騙子直接將自己的錢包私鑰公開給你,往往該錢包中還有數額不小的其他資產。他有可能謊稱自己不會操作,請求你幫助他操作錢包轉入一定數量的 TRX,并且轉出等額的穩(wěn)定幣資產。

用戶可能認為自己占了便宜,導入對方的私鑰或助記詞,并且往該錢包中轉入 TRX。此時,多簽陷阱就會被觸發(fā)。

騙子給的錢包其實已經被設置成多簽錢包,因此此時即使你得到了他的私鑰,也無法順利操作其中的資產,而你轉入的資產就有去無回了。

圖片來源:TP 錢包

第四種,點擊釣魚鏈接造成權限變更

這一種可能是用戶點擊釣魚鏈接而導致錢包的權限被更改。例如,騙子構造一個以低價購買各類卡券或充值的網站,當用戶使用他們提供的鏈接進行充值時,就會調用惡意權限提升的代碼,用戶直接確認并輸入密碼簽名后,會導致自己錢包地址的權限發(fā)生變更。

TP 錢包提供的實際案例顯示,用戶點擊釣魚鏈接后進行轉賬,錢包會直接給出提示,告知用戶本次操作其實并不是一次單純的轉賬,而是在「調用升級賬號權限」的功能。一旦用戶點擊確認后也就意味著向騙子授權多簽。而當用戶的錢包地址被惡意多簽后,這時再進行轉賬就會出現問題,也有可能讓對方利用更多的權限轉移資金。

圖片來源:TP 錢包

多簽安全,首先需要私鑰安全

從以上四種常見被多簽的情形可以看到,用戶私鑰的泄露,或是輕信他人的釣魚鏈接和錢包,是導致資產的丟失的直接原因。

在這些騙局中,多簽機制更多是「躺槍」而被欺詐者利用成為實現騙局的一種手段。

這顯然不是波場 TRON 多簽機制的出發(fā)點。

我們可以把波場錢包的多簽機制想象成安全性更高的防盜鎖組合,需要解開多個鎖孔才能移動家里的資產。但這種安全性有一個前提,即用戶需要守好屬于自己原有的權限。如果解開鎖孔的鑰匙全在一個人手中,那么功能再好的防盜鎖也會失去價值。

將目前的錢包欺詐問題和波場的多簽機制放在一起看,我們不難發(fā)現:大多數情況下用戶是無心之失,而多簽機制本身也沒什么問題,問題更多的來源于環(huán)境--加密世界里的用戶和欺詐者技術能力上不對等,行業(yè)早期也缺乏更加成熟的技術預警、識別和反制措施。

不過,在當前的情況下,波場 TRON 在用戶側提供多簽機制的同時,是否也可以在開發(fā)側更近一步,用技術的方式盡可能降低欺詐發(fā)生的可能性?

波場 TRON 目前的多簽機制,僅在 TronLink 錢包以及 TokenPocket 錢包中可以使用。

目前,考慮到多簽涉及到較為敏感的私鑰簽名,波場 TRON 在 API 參考手冊中,已經關閉了涉及私鑰簽名的接口服務。

除此之外,錢包和其他相關產品可以根據其具體需求對多重簽名進行評估,并決定是否向用戶展示相關提示信息以及以何種方式來展示提示信息。所以,波場 TRON 多簽機制是否呈現在用戶面前并不是一種「必選項」。在出現這種選項時,也不會以犧牲安全性和可靠性為代價。

不過,資產最終的安全性,還是離不開用戶內心安全意識的增強。少一些對天上掉餡餅的期待,多一些對誘惑陷阱的防范,警惕可能出現的騙局,整個加密世界的安全性也會得到進一步提升。

關鍵詞: 針對波場錢包的多簽騙局真相如何 用戶如何保障資產安全 數字資產

 

網站介紹  |  版權說明  |  聯系我們  |  網站地圖 

星際派備案號:京ICP備2022016840號-16 營業(yè)執(zhí)照公示信息版權所有 郵箱聯系:920 891 263@qq.com