fons
Pēdējā Web3 drošības slazdu novēršanas rokasgrāmatas numurā mēs galvenokārt izskaidrojām riskus, lejupielādējot/iegādājoties makus, kā atrast īsto oficiālo vietni un pārbaudīt maka autentiskumu, kā arī privāto atslēgu/mnemonisko frāžu noplūdes riskus. Mēs bieži sakām "Ne jūsu atslēgas, ne jūsu monētas", taču ir arī situācijas, kad pat tad, ja jums ir privātā atslēga/mnemoniskā frāze, jūs nevarat kontrolēt savus īpašumus, tas ir, maciņā ir ļaunprātīgi vairāki paraksti. Apvienojumā ar mūsu savāktajām MistTrack nozagtajām veidlapām pēc tam, kad dažu lietotāju maki tika ļaunprātīgi parakstīti, viņi nesaprata, kāpēc viņu maka kontos joprojām ir atlikumi, bet viņi nevarēja pārskaitīt līdzekļus. Tāpēc šajā numurā par piemēru ņemsim TRON maku, lai izskaidrotu attiecīgās zināšanas par vairāku parakstu pikšķerēšanu, tostarp vairāku parakstu mehānismu, regulārām hakeru darbībām un to, kā izvairīties no ļaunprātīgiem vairāku parakstu makā.
Vairāku parakstu mehānisms
Vispirms īsi paskaidrosim, kas ir vairāku parakstu mehānisma nolūks ir padarīt maku drošāku un ļaut vairākiem lietotājiem kopīgi pārvaldīt un kontrolēt viena un tā paša digitālā līdzekļa maka piekļuves un lietošanas tiesības. Pat ja daži pārvaldnieki pazaudē vai nopludinās privātās atslēgas/mnemoniskas frāzes, makā esošie līdzekļi ne vienmēr tiks sabojāti.
TRON vairāku parakstu atļauju sistēma ir izstrādāta ar trim dažādām atļaujām: īpašnieks, liecinieks un aktīvs, katrai no tām ir noteiktas funkcijas un lietojumi.
Īpašnieka atļaujas:
Ir augstākās pilnvaras visu līgumu un operāciju izpildei;
Tikai ar šo atļauju jūs varat mainīt citas atļaujas, tostarp pievienot vai noņemt citus parakstītājus;
Pēc jauna konta izveides pašam kontam pēc noklusējuma ir šī atļauja.
Liecinieku atļaujas:
Šī atļauja galvenokārt ir saistīta ar superpārstāvjiem. Konti ar šo atļauju var piedalīties superpārstāvju ievēlēšanā un balsošanā, kā arī pārvaldīt ar superpārstāvjiem saistītās darbības.
Aktīvās atļaujas:
Izmanto ikdienas darbībām, piemēram, naudas pārskaitīšanai un viedo līgumu zvanīšanai. Šo atļauju var iestatīt un mainīt ar īpašnieka atļauju. Tā bieži tiek piešķirta kontiem, kuriem jāveic konkrēti uzdevumi.
Kā minēts iepriekš, veidojot jaunu kontu, konta adresei pēc noklusējuma būs īpašnieka atļaujas (augstākās atļaujas). Varat pielāgot konta atļauju struktūru, izvēlēties, kurām adresēm piešķirt konta atļaujas, un norādīt šo adrešu svaru un noteiktos sliekšņus. Slieksnis attiecas uz to, cik liels parakstītāja svars ir nepieciešams, lai veiktu konkrētu darbību. Zemāk redzamajā attēlā slieksnis ir iestatīts uz 2, un visu trīs autorizēto adrešu svars ir 1. Veicot konkrētu darbību, darbība var stāties spēkā, ja vien ir apstiprinājumi no 2 parakstītājiem.
(https://support.tronscan.org/hc/article_attachments/29939335264665)
Ļaunprātīga vairāku parakstu process
Pēc tam, kad hakeris ir ieguvis lietotāja privāto atslēgu/mnemonisko frāzi, ja lietotājs neizmanto vairāku parakstu mehānismu (tas ir, maka kontu kontrolē tikai viens lietotājs), hakeris var arī autorizēt īpašnieka/aktīvās atļaujas savam lietotājam. savu adresi vai mainīt lietotāja atļaujas Aktīvās atļaujas tiek pārsūtītas uz sevi lietotājam joprojām ir īpašnieka/aktīvās atļaujas:
Izmantojiet vairāku parakstu mehānismu
Zemāk redzamajā attēlā lietotāja īpašnieka/aktīvās atļaujas nav noņemtas. Hakeris ir pilnvarojis īpašnieka/aktīvās atļaujas uz savu adresi. Šobrīd kontu kopīgi kontrolē lietotājs un hakeris (slieksnis ir 2 Lietotāja adreses un hakera adreses svars ir 1. Lai gan lietotājam ir privātā atslēga/mnemoniskā frāze un viņam ir īpašnieka/aktīvās atļaujas, viņš nevar pārsūtīt savus īpašumus, jo, kad lietotājs ierosina īpašumu pārsūtīšanas pieprasījumu, pirms šīs darbības veikšanas ir jāparaksta gan lietotāja, gan hakera adrese. izpildīts normāli.
Lai gan aktīvu pārsūtīšanai no konta ar vairākiem parakstiem ir jāapstiprina vairāku pušu paraksti, lai veiktu iemaksu Maka kontā, nav nepieciešami vairāku pušu paraksti. Ja lietotājam nav ieraduma regulāri pārbaudīt konta atļaujas vai viņš pēdējā laikā nav veicis nekādas pārskaitījuma darbības, viņš parasti neatklās, ka viņa maka konta autorizācija ir mainīta, un viņš turpinās tikt bojāts. Ja makā nav daudz līdzekļu, hakeri var izmantot ilgtermiņa pieeju un gaidīt, kamēr kontā tiks uzkrāts noteikts daudzums digitālo līdzekļu, pirms nozagt visus digitālos līdzekļus uzreiz.
Izmantojot TRON atļauju pārvaldības projektēšanas mehānismu
Cita situācija ir tāda, ka hakeri izmanto TRON atļauju pārvaldības dizaina mehānismu, lai tieši pārsūtītu lietotāja īpašnieka/aktīvās atļaujas uz hakeru adresi (slieksnis joprojām ir 1), kā rezultātā lietotājs zaudē Īpašnieka/Aktīvās atļaujas un pat "balsstiesības". Jāpiebilst, ka hakeris šeit neizmanto vairāku parakstu mehānismu, lai neļautu lietotājiem nodot aktīvus, taču ir ierasts šo situāciju saukt par maka ļaunprātīgu vairāku parakstu.
Iepriekš minēto divu situāciju rezultāti ir vienādi. Neatkarīgi no tā, vai lietotājam joprojām ir īpašnieka/aktīvās atļaujas, viņš ir zaudējis faktisko kontroli pār kontu. Hacker adrese ir ieguvusi konta augstākās tiesības, nodot aktīvus utt.
Ceļi uz ļaunprātīgu vairāku parakstu
Apvienojot MistTrack savāktās nozagtās veidlapas, esam apkopojuši vairākus izplatītākos iemeslus, kāpēc maki tiek ļaunprātīgi parakstīti. Mēs ceram, ka lietotāji būs modrāki, saskaroties ar šādām situācijām.
1. Lejupielādējot maku, man neizdevās atrast pareizo veidu, es noklikšķināju uz viltotās oficiālās vietnes saites, ko nosūtīja Telegram, Twitter un netizens, un lejupielādēju viltoto maku. Rezultātā noplūda privātā atslēga/mnemoniskā frāze un maciņā bija ļaunprātīgi vairāki paraksti.
2. Lietotāji ievadīja savas privātās atslēgas/mnemoniskās frāzes dažās pikšķerēšanas papildināšanas vietnēs, kurās tiek pārdotas gāzes kartes, dāvanu kartes un VPN pakalpojumi, un rezultātā viņi zaudēja kontroli pār saviem maka kontiem.
3. Ārpusbiržas darījumu laikā privāto atslēgu/mnemonisko frāzi nofotografēja kāda tīša persona vai arī tika iegūta konta autorizācija.
4. Daži krāpnieki sniedz jums privāto atslēgu/mnemonisko frāzi, sakot, ka viņi nevar izņemt maka kontā esošos līdzekļus un var jums samaksāt, ja varat palīdzēt. Lai gan privātajai atslēgai/mnemoniskajai frāzei atbilstošā maka adresē patiešām ir līdzekļi, neatkarīgi no tā, cik lielu apstrādes maksu jūs maksājat vai cik ātri pārvietojaties, jūs to nevarat izņemt, jo izņemšanas atļauju krāpnieks ir piešķīris citai adresei.
5. Ir arī reta situācija, kad lietotājs noklikšķina uz pikšķerēšanas saites TRON un paraksta ļaunprātīgus datus, un pēc tam maciņā tiek ļaunprātīgi vairāki paraksti.
Apkopojiet
Šajā rokasgrāmatā mēs galvenokārt izmantojam TRON maku kā piemēru, lai izskaidrotu vairāku parakstu mehānismu, procesu un rutīnas, ko hakeri izmanto ļaunprātīgu vairāku parakstu ieviešanai. Mēs ceram palīdzēt ikvienam padziļināt izpratni par vairāku parakstu mehānismu uzlabot viņu spēju novērst ļaunprātīgu vairāku parakstu izmantošanu. Protams, papildus ļaunprātīgu vairāku parakstu gadījumiem daži iesācēji var kļūdaini iestatīt savus makus vairāku parakstu dēļ neuzmanības vai izpratnes trūkuma dēļ, kā rezultātā ir nepieciešami vairāki paraksti, lai veiktu pārskaitījumus. . Šobrīd lietotājam ir jāatbilst tikai vairāku parakstu prasībām vai jāautorizē īpašnieka/aktīvās atļaujas tikai vienai adresei tiesību pārvaldības nodaļā un jāatjauno viens paraksts.
Visbeidzot, SlowMist drošības komanda iesaka lietotājiem regulāri pārbaudīt sava konta atļaujas, lai noskaidrotu, vai nav konstatētas novirzes no oficiālajiem kanāliem. Mēs runājām par to, kā atrast pareizo paroli Web3 drošības darba sākšanas ceļvedī, lai izvairītos no kļūdām. Fake Wallets un Private Key Mneonic Phrase Leak Risks oficiālā vietne un pārbaudiet maka autentiskumu, neklikšķiniet uz nezināmām saitēm un viegli ievadiet privātās atslēgas/mnemonikas instalējiet pretvīrusu programmatūru (piemēram, Kaspersky, AVG utt.); ) un pikšķerēšanas risku bloķējošus spraudņus (piemēram, Scam Sniffer), lai uzlabotu ierīces drošību.
