фон

В последнем выпуске руководства по предотвращению ошибок безопасности Web3 мы в основном объясняли риски при загрузке/покупке кошельков, как найти настоящий официальный сайт и проверять подлинность кошелька, а также риски утечки закрытых ключей/мнемонических фраз. Мы часто говорим «Не ваши ключи, не ваши монеты», но бывают ситуации, когда даже если у вас есть закрытый ключ/мнемоническая фраза, вы не можете контролировать свои активы, то есть кошелек злонамеренно подписан мультиподписью. В сочетании с собранными нами украденными формами MistTrack после того, как кошельки некоторых пользователей были злонамеренно подписаны несколькими пользователями, они не понимали, почему у них все еще есть остатки на счетах кошельков, но они не могут перевести средства. Поэтому в этом выпуске мы возьмем кошелек TRON в качестве примера, чтобы объяснить соответствующие знания о фишинге с несколькими подписями, включая механизм мультиподписей, регулярные операции хакеров и способы избежать вредоносных мультиподписей в кошельке.

Механизм мультиподписи

Давайте сначала кратко объясним, что такое мультиподпись. Первоначальная цель механизма мультиподписи — сделать кошелек более безопасным и позволить нескольким пользователям совместно управлять и контролировать права доступа и использования одного и того же кошелька цифровых активов. Даже если некоторые менеджеры потеряют или разгласят секретные ключи/мнемонические фразы, активы в кошельке не обязательно будут повреждены.

Система разрешений с несколькими подписями TRON разработана с тремя различными разрешениями: «Владелец», «Свидетель» и «Активный», каждое из которых имеет определенные функции и виды использования.

Разрешения владельца:

• Иметь высшие полномочия для выполнения всех контрактов и операций;

• Только с этим разрешением вы можете изменять другие разрешения, включая добавление или удаление других подписывающих лиц;

• После создания новой учетной записи сама учетная запись имеет это разрешение по умолчанию.

Разрешения свидетеля:

Это разрешение в основном относится к суперпредставителям. Учетные записи с этим разрешением могут участвовать в выборах и голосовании суперпредставителей, а также управлять операциями, связанными с суперпредставителями.

Активные разрешения:

Используется для повседневных операций, таких как перевод денег и вызов смарт-контрактов. Это разрешение может быть установлено и изменено с помощью разрешения владельца. Оно часто назначается учетным записям, которым необходимо выполнять определенные задачи. Это набор нескольких авторизованных операций (например, переводы TRX, заложенные активы).

Как упоминалось выше, при создании новой учетной записи адрес учетной записи по умолчанию будет иметь разрешения владельца (самые высокие разрешения). Вы можете настроить структуру разрешений учетной записи, выбрать, каким адресам разрешать разрешения учетной записи, и указать. вес этих адресов и установите пороговые значения. Порог означает, какой вес подписывающего лица требуется для выполнения конкретной операции. На рисунке ниже порог установлен на 2, а веса всех трех авторизованных адресов равны 1. При выполнении определенной операции операция может вступить в силу, пока есть подтверждения от двух подписывающих лиц.

(https://support.tronscan.org/hc/article_attachments/29939335264665)

Процесс вредоносной мультиподписи

После того, как хакер получит закрытый ключ/мнемоническую фразу пользователя, если пользователь не использует механизм мультиподписи (т. е. учетная запись кошелька контролируется только одним пользователем), хакер также может предоставить разрешения Владелец/Активный для своего собственный адрес или изменение Владельца/Активных разрешений пользователя. Активные разрешения передаются самому себе. Эти две операции хакеры обычно называют вредоносными мультиподписями, но на самом деле это широкий термин. На самом деле их можно различать по тому, являются ли они. у пользователя все еще есть права владельца/активного пользователя:

Используйте механизм мультиподписи.

На рисунке ниже разрешения Владельца/Активного пользователя не были удалены. Хакер предоставил разрешения Владелец/Активный для своего собственного адреса. В настоящее время учетная запись контролируется совместно пользователем и хакером (пороговое значение равно 2). ). Веса адреса пользователя и адреса хакера равны 1. Хотя пользователь владеет секретным ключом/мнемонической фразой и имеет разрешения владельца/активного пользователя, он не может передавать свои собственные активы, поскольку, когда пользователь инициирует запрос на передачу активов, адреса пользователя и хакера должны быть подписаны, прежде чем эта операция может быть выполнена. выполнено нормально.

Хотя операция перевода активов из мультиподписной учетной записи требует подтверждения многосторонних подписей, внесение депозита на счет кошелька не требует многосторонних подписей. Если у пользователя нет привычки регулярно проверять разрешения учетной записи или он в последнее время не выполнял никаких операций по переводу, он, как правило, не обнаружит, что авторизация его учетной записи кошелька была изменена, и он продолжит повреждаться. Если в кошельке не так много активов, хакеры могут применить долгосрочный подход и подождать, пока на учетной записи накопится определенное количество цифровых активов, прежде чем украсть все цифровые активы одновременно.

Использование механизма проектирования управления разрешениями TRON

Другая ситуация заключается в том, что хакеры используют механизм управления разрешениями TRON для прямой передачи разрешений владельца/активного пользователя на адрес хакера (пороговое значение по-прежнему равно 1), в результате чего пользователь теряет разрешения владельца/активного пользователя и даже «права голоса». Следует отметить, что хакер здесь не использует механизм мультиподписи, чтобы помешать пользователям передавать активы, а такую ​​ситуацию принято называть злонамеренной мультиподписью кошелька.

Результаты двух вышеупомянутых ситуаций одинаковы. Независимо от того, есть ли у пользователя разрешения владельца/активного пользователя, он потерял фактический контроль над учетной записью. Хакерский адрес получил высшие полномочия учетной записи и может изменить разрешения учетной записи. передача активов и т.д.

Пути к вредоносной мультиподписи

Объединив украденные формы, собранные MistTrack, мы обобщили несколько распространенных причин, по которым кошельки имеют злонамеренную мультиподпись. Мы надеемся, что пользователи будут более бдительными при возникновении следующих ситуаций:

1. При загрузке кошелька мне не удалось найти правильный путь, я нажал на поддельную ссылку на официальный сайт, отправленную Telegram, Twitter и пользователями сети, и загрузил поддельный кошелек. В результате произошла утечка закрытого ключа/мнемонической фразы. и кошелек был злонамеренно мультиподписан.

2. Пользователи вводили свои секретные ключи/мнемонические фразы на некоторые фишинговые веб-сайты пополнения счетов, которые продают газовые карты, подарочные карты и услуги VPN, и в результате теряли контроль над учетными записями своих кошельков.

3. Во время внебиржевых транзакций закрытый ключ/мнемоническая фраза была сфотографирована преднамеренным лицом или авторизация учетной записи была получена каким-либо способом. Впоследствии кошелек был злонамеренно подписан мультиподписью, и активы были повреждены.

4. Некоторые мошенники предоставляют вам закрытый ключ/мнемоническую фразу, говоря, что они не могут вывести активы со счета кошелька и могут заплатить вам, если вы можете помочь. Несмотря на то, что в адресе кошелька, соответствующем закрытому ключу/мнемонической фразе, действительно есть средства, независимо от того, какую комиссию за обработку вы платите или как быстро вы двигаетесь, вы не можете вывести их, поскольку разрешение на снятие валюты было назначено мошенником другому адресу. .

5. Также бывает редкая ситуация, когда пользователь нажимает на фишинговую ссылку в TRON и подписывает вредоносные данные, а затем кошелек злонамеренно мультиподписается.

Подведем итог

В этом руководстве мы в основном используем кошелек TRON в качестве примера для объяснения механизма мультиподписи, процесса и процедур, используемых хакерами для реализации вредоносных мультиподписей. Мы надеемся помочь каждому углубить свое понимание механизма мультиподписи и. улучшить их способность предотвращать злонамеренную мультиподпись кошельков. Конечно, помимо случаев злонамеренных мультиподписей, есть и особые случаи. Некоторые начинающие пользователи могут по ошибке настроить свои кошельки на мультиподпись из-за невнимательности или непонимания, что приводит к необходимости использования нескольких подписей для осуществления переводов. . В настоящее время пользователю необходимо выполнить требования к нескольким подписям или предоставить права владельца/активного пользователя только на один адрес в отделе управления правами и восстановить единую подпись.

Наконец, команда безопасности SlowMist рекомендует пользователям регулярно проверять разрешения своей учетной записи на предмет каких-либо отклонений; загрузите кошелек с официальных каналов. О том, как найти правильный пароль, мы говорили в Руководстве по началу работы с безопасностью Web3, чтобы избежать ошибок | Поддельные кошельки и мнемоника секретного ключа Риск утечки на официальном сайте и проверьте подлинность кошелька, не нажимайте на неизвестные ссылки и не вводите легко приватные ключи/мнемоники, устанавливайте антивирусное программное обеспечение (например, Kaspersky, AVG и т. д.); ) и плагины для блокировки рисков фишинга (например, Scam Sniffer) для повышения безопасности устройства.