Recentemente, alcuni utenti della comunità hanno segnalato che il portafoglio TRON è stato inspiegabilmente multifirmato, rendendo il token inutilizzabile. In risposta a questo tipo di problema, abbiamo compilato questa nota scienza sulla multifirma TRON, sperando di aiutare gli utenti a comprendere i principi della multifirma TRON, a riconoscere i pericoli derivanti dalla modifica dannosa delle autorizzazioni e a proteggere meglio la sicurezza delle risorse.
Scenario multisegno di Tron
Sulla base della comunicazione con gli utenti e della verifica dei dati rilevanti, sono stati ottenuti i seguenti scenari che potrebbero portare a firme multiple.
1. Se imposti tu stesso la firma multipla, dovrai gestire tu stesso l'indirizzo per eseguire la firma;
2. L'utilizzo di un portafoglio falso provoca la perdita della chiave mnemonica privata e la firma multipla viene impostata dopo essere stata ottenuta dall'altra parte;
3. Importa nel portafoglio la frase mnemonica della chiave privata ottenuta dalla rete e l'indirizzo è stato multifirmato;
4. È stato eseguito un collegamento dannoso di terze parti e la firma ha completato l'operazione di modifica dell'autorizzazione.
Riepilogo di una frase:
Dopo che l'indirizzo del portafoglio TRON è stato creato, ha un'impostazione predefinita di peso singolo e può eseguire qualsiasi operazione on-chain. Se l'indirizzo è multi-firma, ciò deve essere dovuto alla perdita della chiave privata o della frase mnemonica o alla modifica. di permessi causati dall'esecuzione di collegamenti dannosi.
Introduzione alla multifirma Tron
Il meccanismo multifirma di TRON è una misura di sicurezza che limita specifiche operazioni fissando soglie e pesi e può essere eseguito solo con la conferma congiunta di più firmatari.
Nel meccanismo multifirma di TRON, la soglia si riferisce al numero di firmatari che devono essere confermati per eseguire un'operazione specifica. Ad esempio, se la soglia è 2, quando si esegue un'operazione specifica, almeno il peso del firmatario deve essere maggiore o uguale alla soglia per la conferma. Le soglie possono essere fissate nei contratti multifirma e adattate in base alle esigenze specifiche.
Il peso si riferisce al peso di ciascun firmatario, che determina la proporzione di ciascun firmatario nell'operazione di firma multipla. Ad esempio, se la soglia è impostata su 2 e il peso di due firmatari è 1, quando si esegue un'operazione specifica, per avere effetto è necessaria la conferma da parte di due firmatari con peso pari a 1. La fissazione del peso deve essere stabilita nel contratto e deve soddisfare il requisito che la somma dei pesi di tutti i firmatari sia maggiore o uguale al peso totale.
Riepilogo di una frase:
Impostando soglie e pesi, il meccanismo multi-firma di Tron può migliorare la sicurezza del contratto e impedire che il contratto venga manomesso da operazioni non autorizzate o utilizzato da aggressori per eseguire operazioni dannose.
Truffa multi-sig di Tron
Esiste una differenza tra i permessi di modifica di TRON e Approva (autorizzazione). Dopo l'autorizzazione, viene interessato solo il Token autorizzato mentre la modifica dei permessi comporterà modifiche nei permessi dell'indirizzo di TRON, perdendo così il permesso di gestione dell'indirizzo.
Le modifiche dannose alle autorizzazioni di Tron si verificano principalmente durante il processo di utilizzo di TRC20 per ricaricare, come l'acquisto di carte carburante e carte regalo a prezzi molto bassi, l'utilizzo di alcune piattaforme di codici di verifica per ricaricare, ecc. Fondamentalmente, sfrutta la mentalità avida delle persone per il layout. Quando gli utenti utilizzano il collegamento fornito per ricaricare, verrà chiamato il codice che modifica maliziosamente le autorizzazioni. Quando l'utente conferma e inserisce una password per firmare, le autorizzazioni dell'indirizzo vengono modificate .
Quello che segue è un tipico caso di modifica dannosa delle autorizzazioni.
L'utente ha ottenuto un collegamento di terze parti attraverso qualche canale ed è passato al portafoglio per aprire l'interfaccia attraverso l'ingresso di ricarica del collegamento dannoso (come mostrato di seguito). L'indirizzo di pagamento viene compilato con l'indirizzo del contratto del token. Fai clic su Paga immediatamente e ti verrà chiesto di non copiare l'indirizzo per il trasferimento. Questo è un "promemoria amichevole" dei truffatori per impedire agli utenti di copiare i propri indirizzi e aggirare il codice dannoso eseguire trasferimenti.
Dopo aver fatto clic su Conferma, verrà visualizzata l'interfaccia dei dettagli. Nella figura seguente, le posizioni mostrate da tre frecce indicheranno l'operazione in corso e i possibili rischi causati dall'operazione. Fare clic sulla posizione della seconda freccia per visualizzare gli effetti e i rischi della modifica delle autorizzazioni. Se si ignorano le richieste di rischio ed si esegue l'operazione, si verificheranno modifiche dannose alle autorizzazioni. Se provi a trasferire denaro in questo momento, vedrai un messaggio di errore In effetti, hai perso il controllo del cambio di indirizzo.
Riepilogo di una frase:
L'intenzione originale dell'impostazione multi-firma è quella di proteggere meglio le risorse degli utenti, ma se utilizzata con attenzione dai truffatori, diventerà uno strumento per rubare risorse. Quindi assicurati di controllare attentamente ogni richiesta visualizzata nel portafoglio. Questi contenuti sono informazioni aggiunte dopo ricerche approfondite e sono adatte alla stragrande maggioranza degli utenti.
Prevenzione delle truffe multifirma
TokenPocket supporta da tempo i messaggi di avviso anticipati per le operazioni di modifica dei permessi di Tron. Devi solo controllare attentamente le informazioni del messaggio che appaiono nel portafoglio per aggirare la maggior parte delle truffe. Allo stesso tempo, ti preghiamo di non credere ai vari siti web che promuovono falsamente carte regalo, carte carburante, codici di verifica, ecc. su Internet e non partecipano alle loro ricariche, in particolare ai link che forniscono servizi di salto di ricarica. Per i normali servizi di ricarica, è sufficiente utilizzare l'indirizzo di pagamento della controparte per trasferire i fondi per completare l'operazione.
Riepilogo di una frase:
Se riscontri un collegamento fraudolento simile, invialo alla nostra email: service@tokenpocket.pro per segnalarlo. Dopo la verifica, localizzeremo il collegamento per evitare che altri utenti TokenPocket vengano ingannati.
