Ostatnio niektórzy użytkownicy społeczności zgłosili, że portfel TRON został w niewytłumaczalny sposób podpisany wielokrotnie, co spowodowało, że token przestał działać. W odpowiedzi na tego typu problemy zebraliśmy tę popularnonaukową wiedzę na temat wielopodpisu TRON, mając nadzieję, że pomożemy użytkownikom zrozumieć zasady wielopodpisu TRON, rozpoznać niebezpieczeństwa związane ze złośliwą zmianą uprawnień i lepiej chronić bezpieczeństwo zasobów.
Scenariusz z wieloma znakami Tron
Na podstawie komunikacji z użytkownikami i weryfikacji odpowiednich danych uzyskano następujące scenariusze, które mogą prowadzić do wielokrotnych podpisów.
1. Jeśli sam skonfigurowałeś multipodpis, musisz samodzielnie zarządzać adresem, aby móc składać podpisy;
2. Korzystanie z fałszywego portfela powoduje wyciek mnemonika klucza prywatnego, a multipodpis jest tworzony po jego uzyskaniu przez drugą stronę;
3. Zaimportuj frazę mnemoniczną klucza prywatnego uzyskaną z sieci do portfela, a adres został podpisany wieloma znakami;
4. Wykonano złośliwy link strony trzeciej, a podpis zakończył operację zmiany uprawnień.
Podsumowanie w jednym zdaniu:
Po utworzeniu adresu portfela TRON ma on domyślne ustawienie pojedynczej wagi i może wykonywać dowolną operację na łańcuchu. Jeśli adres jest z wieloma znakami, musi to wynikać z wycieku klucza prywatnego lub frazy mnemonicznej lub ze zmiany uprawnień spowodowanych uruchomieniem złośliwych linków.
Wprowadzenie do multipodpisu Tron
Mechanizm wielopodpisowy TRON jest środkiem bezpieczeństwa, który ogranicza określone operacje poprzez ustalenie progów i wag i może być wykonany jedynie za wspólnym potwierdzeniem wielu sygnatariuszy.
W mechanizmie wielopodpisu TRON próg określa liczbę podpisujących, których należy potwierdzić, aby wykonać określoną operację. Przykładowo, jeśli próg wynosi 2, to przy wykonywaniu określonej operacji przynajmniej waga podpisującego musi być większa lub równa progowi potwierdzenia. Progi można ustalać w umowach wielopodpisowych i dostosowywać do konkretnych potrzeb.
Waga odnosi się do wagi każdego sygnatariusza, która określa proporcję każdego sygnatariusza w operacji z wieloma podpisami. Przykładowo, jeśli próg jest ustawiony na 2, a waga dwóch sygnatariuszy wynosi 1, to przy wykonywaniu określonej operacji wymagane jest potwierdzenie od dwóch sygnatariuszy o wadze 1. Ustalenie wagi musi być określone w umowie i spełniać warunek, aby suma wag wszystkich sygnatariuszy była większa lub równa wadze całkowitej.
Podsumowanie w jednym zdaniu:
Ustawiając progi i wagi, mechanizm wielu podpisów Tron może poprawić bezpieczeństwo umowy i zapobiec manipulowaniu umową przez nieautoryzowane operacje lub wykorzystaniu przez osoby atakujące do wykonywania złośliwych operacji.
Oszustwo wielosygnałowe Tron
Istnieje różnica pomiędzy uprawnieniami TRON do zmiany a zatwierdzeniem (autoryzacją). Po autoryzacji wpływa to tylko na autoryzowany token; natomiast zmiana uprawnień spowoduje zmiany w uprawnieniach adresu TRON, tym samym tracąc uprawnienia do zarządzania adresem.
Złośliwe zmiany uprawnień Trona mają miejsce głównie w procesie korzystania z TRC20 do doładowania, na przykład podczas zakupu kart gazowych i kart podarunkowych po bardzo niskich cenach, korzystania z niektórych platform z kodami weryfikacyjnymi do doładowania itp. Zasadniczo wykorzystuje zachłanną mentalność ludzi do projektowania układu, gdy użytkownicy skorzystają z łącza, które podają w celu doładowania, zostanie wywołany kod, który złośliwie zmienia uprawnienia. Gdy użytkownik potwierdzi i wprowadzi hasło do podpisu, uprawnienia adresu zostaną zmienione .
Poniżej przedstawiono typowy przypadek złośliwej zmiany uprawnień.
Użytkownik uzyskał za pośrednictwem jakiegoś kanału łącze do strony trzeciej i wskoczył do portfela, aby otworzyć interfejs poprzez wejście do ładowania złośliwego łącza (jak pokazano poniżej). Adres płatności jest wpisany w adres umowy Tokena. Kliknij Zapłać natychmiast, a zostaniesz poproszony o nie kopiowanie adresu do przelewu. Jest to „przyjazne przypomnienie” wysyłane przez oszustów, aby uniemożliwić użytkownikom kopiowanie własnych adresów i omijanie złośliwego kodu do wykonywania przelewów.
Po kliknięciu przycisku Potwierdź pojawi się interfejs szczegółów. Na poniższym rysunku pozycje oznaczone trzema strzałkami wskazują trwającą operację i ryzyko, jakie może z niej wyniknąć. Kliknij drugą strzałkę, aby zobaczyć skutki i ryzyko związane ze zmianą uprawnień. Jeśli zignorujesz monit o ryzyku i wykonasz operację, spowoduje to złośliwe zmiany w uprawnieniach. Jeśli w tym momencie spróbujesz przelać pieniądze, pojawi się komunikat o błędzie. W rzeczywistości utraciłeś kontrolę nad zmianą adresu.
Podsumowanie w jednym zdaniu:
Pierwotnym zamierzeniem ustawienia wielu podpisów jest lepsza ochrona zasobów użytkownika, ale jeśli zostanie ono ostrożnie wykorzystane przez oszustów, stanie się narzędziem do kradzieży zasobów. Dlatego pamiętaj, aby dokładnie sprawdzić każdy monit pojawiający się w portfelu. Te treści są informacjami dodanymi po szeroko zakrojonych badaniach i są odpowiednie dla zdecydowanej większości użytkowników.
Zapobieganie oszustwom związanym z wieloma podpisami
TokenPocket od dawna obsługuje monity wczesnego ostrzegania o operacjach zmiany uprawnień Trona. Wystarczy dokładnie sprawdzić informacje pojawiające się w portfelu, aby ominąć większość oszustw. Jednocześnie proszę nie wierzyć różnym stronom internetowym, które fałszywie promują w Internecie karty podarunkowe, karty benzynowe, kody weryfikacyjne itp. i nie brać udziału w ich doładowaniach, zwłaszcza linkom zapewniającym usługę szybkiego doładowania. W przypadku normalnych usług doładowań wystarczy użyć adresu płatności drugiej strony, aby przelać środki w celu dokończenia operacji.
Podsumowanie w jednym zdaniu:
Jeśli natkniesz się na podobny fałszywy link, wyślij go na nasz adres e-mail: service@tokenpocket.pro, aby go zgłosić. Po weryfikacji zlokalizujemy link, aby zapobiec oszukaniu większej liczby użytkowników TokenPocket.
