第一种,用户主动设置了多签签名
一些新手在摸索钱包功能时误操作设置成了多签。当资产转账时,由于设置了多签,需要至少2个钱包地址共同完成对这笔交易的签名和确认,此时仅凭用户手上的1个钱包,无法完整的达成整个交易,导致交易受阻。
这种状况是用户误操作所致,用户的资产仍然是安全的。这种情况解决起来比较简单,用户仅需在交易时满足多签要求,或是取消多签的设置用单独签名执行交易即可。
第二种,用户私钥泄露,导致被别人多签
最常见的情形是用户通过钓鱼网站下载到假钱包。用户使用假的钱包软件时也会生成私钥和助记词。
但假钱包可能窃取私钥/助记词,也就意味着用户钱包的控制权旁落;此时,通过多签机制,窃取者可以将他和你的地址一起设置成多签,当用户单独转账时会发现无法顺利进行。而对方由于有你的私钥,再配合他的多签账户,从而转走你的资金。
第三种,他人钓鱼故意泄露私钥,导致转入资金无法取回
这种方式虽然古老,但也是新手们的重灾区。骗子直接将自己的钱包私钥公开给你,往往该钱包中还有数额不小的其他资产。他有可能谎称自己不会操作,请求你帮助他操作钱包转入一定数量的TRX,并且转出等额的稳定币资产。
用户可能认为自己占了便宜,导入对方的私钥或助记词,并且往该钱包中转入TRX。此时,多签陷阱就会被触发。
骗子给的钱包其实已经被设置成多签钱包,因此此时即使你得到了他的私钥,也无法顺利操作其中的资产,而你转入的资产就有去无回了。
第四种,点击钓鱼链接造成权限变更
这一种可能是用户点击钓鱼链接而导致钱包的权限被更改。例如,骗子构造一个以低价购买各类卡券或充值的网站,当用户使用他们提供的链接进行充值时,就会调用恶意权限提升的代码,用户直接确认并输入密码签名后,会导致自己钱包地址的权限发生变更。
TP钱包提供的实际案例显示,用户点击钓鱼链接后进行转账,钱包会直接给出提示,告知用户本次操作其实并不是一次单纯的转账,而是在“调用升级账号权限”的功能。一旦用户点击确认后也就意味着向骗子授权多签。而当用户的钱包地址被恶意多签后,这时再进行转账就会出现问题,也有可能让对方利用更多的权限转移资金。
