Yazan: SlowMist Güvenlik Ekibi

arka plan

Web3 güvenlik tuzaklarından kaçınma kılavuzunun son sayısında esas olarak cüzdan indirirken/satın alırken karşılaşılan riskleri, gerçek resmi web sitesinin nasıl bulunacağını ve cüzdanın orijinalliğinin nasıl doğrulanacağını ve özel anahtarların/anımsatıcı ifadelerin sızmasının risklerini açıkladık. Sıklıkla "Anahtarlarınız değil, paralarınız değil" deriz, ancak özel bir anahtarınız/anımsatıcı ifadeniz olsa bile varlıklarınızı kontrol edemediğiniz, yani cüzdanın kötü niyetli olarak çoklu imzalandığı durumlar da vardır. Topladığımız MistTrack çalıntı formlarıyla birleştiğinde, bazı kullanıcıların cüzdanları kötü niyetli bir şekilde çoklu imzalandıktan sonra, cüzdan hesaplarında neden hala bakiye bulunduğunu ancak parayı dışarı aktaramadıklarını anlamadılar. Bu nedenle bu sayımızda, çoklu imza mekanizması, bilgisayar korsanlarının düzenli işlemleri ve cüzdandaki kötü niyetli çoklu imzaların nasıl önleneceği dahil olmak üzere çoklu imza kimlik avına ilişkin ilgili bilgileri açıklamak için TRON cüzdanını örnek olarak ele alacağız.

Çoklu imza mekanizması

Öncelikle çoklu imzanın ne olduğunu kısaca açıklayalım. Çoklu imza mekanizmasının asıl amacı, cüzdanı daha güvenli hale getirmek ve birden fazla kullanıcının aynı dijital varlık cüzdanının erişim ve kullanım haklarını ortaklaşa yönetmesine ve kontrol etmesine olanak sağlamaktır. Bazı yöneticiler özel anahtarlarını/anımsatıcı sözcüklerini kaybetse veya sızdırsa bile, cüzdandaki varlıkların mutlaka zarar görmesi gerekmez.

TRON'un çoklu imza izin sistemi üç farklı izinle tasarlanmıştır: Sahip, Tanık ve Aktif, her birinin belirli işlevleri ve kullanımları vardır.

Sahip izinleri:

  • Tüm sözleşmeleri ve işlemleri yürütme konusunda en yüksek yetkiye sahip;

  • Yalnızca bu izinle, diğer imzalayanları eklemek veya kaldırmak da dahil olmak üzere diğer izinleri değiştirebilirsiniz;

  • Yeni bir hesap oluşturduktan sonra hesabın kendisi varsayılan olarak bu izne sahip olur.

Tanık izinleri:

Bu izin esas olarak Süper Temsilcilere ilişkindir. Bu izne sahip hesaplar, süper temsilcilerin seçimine ve oylamasına katılabilir ve süper temsilcilerle ilgili işlemleri yönetebilir.

Aktif izinler:

Para transferi ve akıllı sözleşmelerin çağrılması gibi günlük işlemler için kullanılır. Bu izin, Sahip izniyle ayarlanabilir ve değiştirilebilir. Genellikle belirli görevleri gerçekleştirmesi gereken hesaplara atanır. Çeşitli yetkili işlemlerin (TRX transferleri, rehin verilen varlıklar gibi) birleşimidir.

Yukarıda belirtildiği gibi, yeni bir hesap oluştururken hesabın adresi varsayılan olarak Sahip izinlerine (en yüksek izinlere) sahip olacaktır. Hesabın izin yapısını ayarlayabilir, hesabın izinlerinin hangi adreslere verileceğini seçebilir ve hangi adreslere izin verileceğini belirleyebilirsiniz. bu adreslerin ağırlığını belirleyin ve eşikleri ayarlayın. Eşik, belirli bir işlemi gerçekleştirmek için ne kadar imzalayan ağırlığının gerekli olduğunu ifade eder. Aşağıdaki şekilde eşik 2 olarak ayarlanmıştır ve üç yetkili adresin ağırlıkları da 1'dir. Belirli bir işlem gerçekleştirilirken, 2 imzalayandan onay alındığı sürece işlem etkili olabilir.

(https://support.tronscan.org/hc/article_attachments/29939335264665)

Kötü amaçlı çoklu imza süreci

Bilgisayar korsanı, kullanıcının özel anahtarını/anımsatıcı ifadesini aldıktan sonra, kullanıcı çoklu imza mekanizmasını kullanmıyorsa (yani cüzdan hesabı yalnızca bir kişi tarafından kontrol ediliyorsa), bilgisayar korsanı, sahibine de Sahip/Aktif izinlerini yetkilendirebilir. Kendi adresini değiştirme veya kullanıcının Sahip/Aktif izinlerini değiştirme Bilgisayar korsanlarının bu iki işlemine genellikle kötü amaçlı çoklu imza denir ancak aslında bu geniş bir terimdir. kullanıcının hâlâ Sahip/Etkin izinleri var:

Çoklu imza mekanizmasını kullanın

Aşağıdaki resimde kullanıcının Sahip/Aktif izinleri kaldırılmamıştır. Bilgisayar korsanı, Sahip/Aktif izinlerini kendi adresine yetkilendirmiştir. Şu anda hesap, kullanıcı ve hacker tarafından ortaklaşa kontrol edilmektedir (eşik 2'dir). ) Kullanıcı adresinin ve hacker adresinin ağırlıkları 1'dir. Kullanıcı özel anahtara/anımsatıcı ifadeye ve Sahip/Etkin izinlerine sahip olmasına rağmen kendi varlıklarını aktaramaz çünkü kullanıcı varlıkları aktarmak için bir istek başlattığında, bu işlemin yapılabilmesi için hem kullanıcının hem de bilgisayar korsanının adreslerinin imzalanması gerekir. normal olarak yürütülür.

Çok imzalı bir hesaptan varlık aktarma işlemi çok taraflı imzaların onayını gerektirse de, cüzdan hesabına para yatırmak çok taraflı imzaları gerektirmez. Kullanıcı, hesap izinlerini düzenli olarak kontrol etme alışkanlığına sahip değilse veya yakın zamanda herhangi bir transfer işlemi yapmamışsa, genellikle cüzdan hesabının yetkilendirmesinin değiştirildiğini göremeyecek ve bundan sonra zarar görmeye devam edecektir. Cüzdanda çok fazla varlık yoksa, bilgisayar korsanları uzun vadeli bir yaklaşım benimseyebilir ve tüm dijital varlıkları tek seferde çalmadan önce hesapta belirli miktarda dijital varlık biriktirilene kadar bekleyebilir.

TRON'un izin yönetimi tasarım mekanizmasını kullanma

Diğer bir durum ise bilgisayar korsanlarının, kullanıcının Sahip/Aktif izinlerini doğrudan hacker adresine aktarmak için TRON'un izin yönetimi tasarım mekanizmasını kullanmasıdır (eşik hala 1'dir), bu da kullanıcının Sahip/Aktif izinlerini ve hatta "oy haklarını" kaybetmesine neden olur. Burada hacker'ın, kullanıcıların varlık aktarımını engellemek için çoklu imza mekanizmasını kullanmadığını belirtmek gerekir ancak bu durumu, cüzdanın kötü niyetli çoklu imzası olarak adlandırmak gelenekseldir.

Yukarıdaki iki durumun sonuçları aynıdır. Kullanıcının hâlâ Sahip/Etkin izinlerine sahip olup olmadığına bakılmaksızın, bilgisayar korsanı adresi hesabın en yüksek yetkisini ele geçirmiştir ve hesap izinlerini değiştirebilir. varlıkları devretmek vb. faaliyet gösterir.

Kötü amaçlı çoklu imzaya giden yollar

MistTrack tarafından toplanan çalıntı formları birleştirerek, cüzdanların kötü amaçlı olarak çoklu imzalanmasının birkaç yaygın nedenini özetledik. Kullanıcıların aşağıdaki durumlarla karşılaştıklarında daha dikkatli olmalarını umuyoruz:

1. Cüzdanı indirirken doğru yolu bulamadım. Telegram, Twitter ve netizenlerin gönderdiği sahte resmi web sitesi bağlantısına tıkladım ve sahte cüzdanı indirdim. Bunun sonucunda özel anahtar/anımsatıcı ifade sızdırıldı. ve cüzdan kötü niyetli bir şekilde çoklu imzaya sahipti.

2. Kullanıcılar, gaz kartları, hediye kartları ve VPN hizmetleri satan bazı kimlik avı yükleme web sitelerine özel anahtarlarını/anımsatıcı ifadelerini girdiler ve bunun sonucunda cüzdan hesaplarının kontrolünü kaybettiler.

3. OTC işlemleri sırasında özel anahtar/anımsatıcı ifadenin kasıtlı bir kişi tarafından fotoğraflanması veya bir şekilde hesabın yetkilendirilmesinin ardından cüzdanın kötü niyetle çoklu imzalanması ve varlıkların zarar görmesi.

4. Bazı dolandırıcılar, cüzdan hesabındaki varlıkları çekemeyeceklerini ve yardım ederseniz size ödeme yapabileceklerini söyleyerek size özel anahtar/anımsatıcı ifade sağlar. Cüzdan adresinde bu özel anahtara/anımsatıcı ifadeye karşılık gelen paralar olmasına rağmen, ne kadar işlem ücreti öderseniz ödeyin, ne kadar hızlı hareket ederseniz edin, para çekme izni dolandırıcı tarafından başka bir adrese atandığı için parayı çekemezsiniz.

5. Ayrıca, bir kullanıcının TRON'daki bir kimlik avı bağlantısına tıklayıp kötü amaçlı verileri imzaladığı ve ardından cüzdanın kötü amaçlı olarak çoklu imzalandığı nadir bir durum da vardır.

Özetle

Bu kılavuzda, çoklu imza mekanizmasını, bilgisayar korsanlarının kötü amaçlı çoklu imzaları uygulamak için kullandığı süreci ve rutinleri açıklamak için esas olarak TRON cüzdanını örnek olarak kullanıyoruz. cüzdanların kötü amaçlı olarak çoklu imzalanmasını önleme yeteneklerini geliştirin. Elbette, kötü amaçlı çoklu imza durumlarının yanı sıra bazı özel durumlar da vardır. Bazı acemi kullanıcılar, dikkatsizlik veya anlayış eksikliği nedeniyle yanlışlıkla cüzdanlarını çoklu imzaya ayarlayabilir ve bu da transfer yapmak için birden fazla imzaya ihtiyaç duyulmasına neden olabilir. . Şu anda kullanıcının yalnızca çoklu imza gereksinimlerini karşılaması veya hak yönetimi bölümünde yalnızca bir adrese Sahip/Etkin izinlerini yetkilendirmesi ve tek imzayı geri yüklemesi gerekir.

Son olarak SlowMist güvenlik ekibi, kullanıcıların herhangi bir anormallik olup olmadığını görmek için düzenli olarak hesap izinlerini kontrol etmelerini; Web3 Güvenlik Başlangıç ​​Kılavuzu'nda Tuzaklardan Kaçınma konusunda doğru şifreyi nasıl bulacağınızdan bahsettik. Sahte Cüzdanlar ve Özel Anahtar Anımsatıcı Cümle Sızıntısı Riskleri resmi web sitesi ve cüzdanın orijinalliğini doğrulayın; bilinmeyen bağlantılara tıklamayın ve özel anahtarları/anımsatıcıları kolayca girmeyin; ) ve Cihaz güvenliğini artırmak için eklentileri (Scam Sniffer gibi) engelleyen kimlik avı riski.