Недавно некоторые пользователи сообщества сообщили, что кошелек TRON необъяснимым образом был подписан мультиподписью, в результате чего токен стал неработоспособным. В ответ на проблемы такого типа мы собрали научно-популярную статью о мультиподписи TRON, надеясь помочь пользователям понять принципы мультиподписи TRON, осознать опасность злонамеренного изменения разрешений и лучше защитить безопасность активов.
Сценарий с несколькими знаками «Трон»
На основе общения с пользователями и проверки соответствующих данных были получены следующие сценарии, которые могут привести к использованию нескольких подписей.
1. Если вы самостоятельно настроили мультиподпись, вам необходимо самостоятельно управлять адресом для выполнения подписи;
2. Использование поддельного кошелька приводит к утечке мнемоники закрытого ключа, а мультиподпись устанавливается после получения другой стороной;
3. Импортируйте в кошелек мнемоническую фразу закрытого ключа, полученную из сети, и адрес был мультиподписан;
4. Была выполнена сторонняя вредоносная ссылка, и подпись завершила операцию изменения разрешения.
Краткое содержание одним предложением:
После создания адреса кошелька TRON он имеет настройку единого веса по умолчанию и может выполнять любую операцию в цепочке. Если адрес имеет мультиподпись, это должно быть связано с утечкой закрытого ключа или мнемонической фразы или изменением. разрешений, вызванных выполнением вредоносных ссылок.
Введение в мультиподпись Tron
Механизм мультиподписи TRON — это мера безопасности, которая ограничивает определенные операции путем установки пороговых значений и весов и может быть выполнена только при совместном подтверждении нескольких подписавших сторон.
В механизме мультиподписи TRON порог означает, сколько подписывающих лиц необходимо подтвердить для выполнения конкретной операции. Например, если порог равен 2, то при выполнении конкретной операции как минимум вес подписывающего должен быть больше или равен порогу для подтверждения. Пороговые значения могут быть установлены в контрактах с несколькими подписями и скорректированы в соответствии с конкретными потребностями.
Вес относится к весу каждого подписывающего лица, который определяет долю каждого подписывающего лица в операции с несколькими подписями. Например, если порог установлен на 2, а вес двух подписывающих сторон равен 1, то при выполнении определенной операции для вступления в силу требуется подтверждение от двух подписывающих сторон с весом 1. Установка веса должна быть установлена в контракте и должна соответствовать требованию, чтобы сумма весов всех подписавших сторон была больше или равна общему весу.
Краткое содержание одним предложением:
Устанавливая пороговые значения и веса, механизм мультиподписей Tron может повысить безопасность контракта и предотвратить подделку контракта несанкционированными операциями или использование злоумышленниками для выполнения вредоносных операций.
Мошенничество с несколькими подписями Tron
Существует разница между разрешениями на изменение TRON и одобрением (авторизацией). После авторизации затрагивается только авторизованный токен, а изменение разрешений приведет к изменению разрешений адреса TRON, тем самым потеряв разрешение на управление адресом.
Вредоносные изменения разрешений Tron в основном происходят в процессе использования TRC20 для пополнения счета, например, при покупке газовых карт и подарочных карт по очень низким ценам, использовании некоторых платформ с кодами подтверждения для пополнения счета и т. д. По сути, он использует жадность людей к макету. Когда пользователи используют предоставленную ими ссылку для пополнения счета, будет вызван код, который злонамеренно изменяет разрешения. Когда пользователь подтверждает и вводит пароль для подписи, разрешения адреса изменяются. .
Ниже приведен типичный случай злонамеренного изменения разрешений.
Пользователь получил стороннюю ссылку через какой-то канал и перешел к кошельку, чтобы открыть интерфейс через вход для пополнения счета вредоносной ссылки (как показано ниже). Платежный адрес заполняется контрактным адресом токена. Нажмите «Оплатить немедленно», и вам будет предложено не копировать адрес для перевода. Это «дружеское напоминание», данное мошенниками, чтобы пользователи не могли копировать свои собственные адреса и обойти вредоносный код. для выполнения переводов.
После нажатия кнопки «Подтвердить» появится интерфейс подробной информации. На рисунке ниже позиции, показанные тремя стрелками, обозначают текущую операцию и риски, которые могут возникнуть в результате этой операции. Нажмите на вторую стрелку, чтобы просмотреть последствия и риски изменения разрешений. Если вы проигнорируете уведомление о риске и выполните операцию, это приведет к вредоносным изменениям разрешений. Если вы попытаетесь перевести деньги в это время, то увидите сообщение об ошибке. Фактически вы потеряли контроль над сменой адреса.
Краткое содержание одним предложением:
Первоначальная цель настройки мультиподписей — лучше защитить активы пользователей, но если ее осторожно использовать мошенники, она станет инструментом для кражи активов. Поэтому обязательно внимательно проверяйте каждое сообщение, появляющееся в кошельке. Это содержимое добавлено после тщательного исследования и подходит для подавляющего большинства пользователей.
Предотвращение мошенничества с использованием нескольких подписей
TokenPocket уже давно поддерживает запросы раннего предупреждения об операциях изменения разрешений Tron. Вам нужно только внимательно проверять информацию о подсказках, которая появляется в кошельке, чтобы обойти большинство случаев мошенничества. В то же время, пожалуйста, не верьте различным веб-сайтам, которые ложно рекламируют подарочные карты, газовые карты, коды проверки и т. д. в Интернете, и не участвуйте в их пополнении, особенно ссылкам, которые предоставляют услуги по пополнению счета. Для обычных услуг пополнения счета вам нужно использовать только платежный адрес другой стороны для перевода средств для завершения операции.
Краткое содержание одним предложением:
Если вы столкнулись с подобной мошеннической ссылкой, отправьте ее на нашу электронную почту: service@tokenpocket.pro, чтобы сообщить об этом. После проверки мы локализуем ссылку, чтобы предотвратить обман большего числа пользователей TokenPocket.
