近期有部分社區用戶反饋波場錢包被莫名的執行了多籤,導致Token無法操作。針對這類問題我們整理了本次的波場多籤的相關科普,希望可以幫助用戶瞭解波場多籤的原理,認識到惡意更改權限的危害,更好的保護資產安全。
波場多籤場景
根據和用戶的溝通及相關數據的驗證,得到了以下幾種可能會導致多籤的場景。
1、自己設置了多籤,需要自己管理地址執行簽名;
2、使用假錢包導致私鑰助記詞泄露,被對方獲取後設置多籤;
3、網絡獲取的私鑰助記詞導入錢包,該地址已經被多籤;
4、執行了第三方惡意鏈接,並且簽名完成了更改權限操作。
一句話總結:
波場錢包地址創建後是默認的單權重設置,可以執行任何的鏈上操作,如果地址被多籤,一定是因爲私鑰或助記詞的泄露或執行惡意鏈接導致的權限變更。
波場多籤簡介
波場(TRON)的多重簽名機制是一種安全措施,通過設置閾值和權重來限制特定的操作,只能在多個簽名方的共同確認下才能執行。
在波場多籤機制中,閾值是指多少個簽名方需要確認才能執行特定的操作。例如閾值爲 2,那麼在執行特定操作時至少需要簽名方權重大於等於閾值才進行確認。閾值可以在多籤合約中進行設置,根據具體需求進行調整。
權重是指每個簽名方的權重大小,它可以決定每個簽名方在多籤操作中所佔比例。例如,如果設置了閾值爲2,兩個簽名方權重爲 1,那麼在執行特定操作時,需要兩個擁有權重爲 1 的簽名方的確認纔可以生效。權重的設置需要在合約中進行設置,並且必須滿足所有簽名方權重之和大於等於總權重的要求。
一句話總結:
通過設置閾值和權重,波場多籤機制可以提高合約的安全性,防止合約被未經授權的操作所篡改或者被攻擊者利用進行惡意操作。
波場多籤騙局
波場的更改權限和Approve(授權)是有區別的,授權後影響的只有授權過的這個Token;而更改權限則會導致波場地址權限的變更,從而失去了對地址的管理權限。
波場惡意的更改權限,多發生於一些使用TRC20充值的過程中,例如以很低的價格購買加油卡、禮品卡、使用一些驗證碼平臺充值等途徑。根本上就是利用了人們貪圖便宜的心態進行佈局,當用戶使用他們提供的鏈接進行充值時,就會調用惡意更改權限的代碼,當用戶確認並輸入密碼簽名後,地址的權限便發生了變更。
下面的是一個典型的惡意更改權限的案例。
用戶通過某種渠道得到了第三方鏈接,通過惡意鏈接的充值入口跳轉到錢包中打開界面(如下圖)。收款地址填寫的是Token的合約地址,點擊立即支付,提示不要複製地址進行轉賬,這個是騙子爲了防止用戶自行復制地址繞過惡意代碼執行轉賬的“友情提示”。
點擊確認後彈出詳情界面,在下圖中通過三個箭頭所示的位置提示正在進行的操作以及操作後可能帶來的風險。點擊第二個箭頭位置,可以查看更改權限的作用和風險,如果無視風險提示並執行了操作,就會導致惡意更改權限。這時再進行轉賬就會看到錯誤的提示信息,實際上已經失去了對改地址的控制權。
一句話總結:
多籤設置的初衷是爲了更好的保護用戶資產,但是被騙子精心利用後會成爲其盜取資產的工具。所以請一定要認真查看錢包中出現的每一個提示,這些內容都是經過大量考證後纔會添加的信息,適用於絕大多數用戶。
多籤騙局防範
TokenPocket很早就支持了波場更改權限操作的預警提示,只需要認真的查看錢包中出現的提示信息就可以繞過大多數的騙局。同時請不要相信網絡上虛假宣傳的各類禮品卡、加油卡、驗證碼等網站,更不要參與他們的充值,尤其是提供充值跳轉服務的鏈接。正常的充值類服務,只需要使用對方的收款地址轉賬就可以完成操作。
一句話總結:
如果遇到類似的詐騙鏈接,請發送到我們的郵箱:service@tokenpocket.pro 進行舉報,我們驗證後會對鏈接進行本地化處理,防止更多TokenPocket用戶上當受騙。
