第一種,用戶主動設置了多籤簽名
一些新手在摸索錢包功能時誤操作設置成了多籤。當資產轉賬時,由於設置了多籤,需要至少2個錢包地址共同完成對這筆交易的簽名和確認,此時僅憑用戶手上的1個錢包,無法完整的達成整個交易,導致交易受阻。
這種狀況是用戶誤操作所致,用戶的資產仍然是安全的。這種情況解決起來比較簡單,用戶僅需在交易時滿足多籤要求,或是取消多籤的設置用單獨簽名執行交易即可。
第二種,用戶私鑰泄露,導致被別人多籤
最常見的情形是用戶通過釣魚網站下載到假錢包。用戶使用假的錢包軟件時也會生成私鑰和助記詞。
但假錢包可能竊取私鑰/助記詞,也就意味着用戶錢包的控制權旁落;此時,通過多籤機制,竊取者可以將他和你的地址一起設置成多籤,當用戶單獨轉賬時會發現無法順利進行。而對方由於有你的私鑰,再配合他的多籤賬戶,從而轉走你的資金。
第三種,他人釣魚故意泄露私鑰,導致轉入資金無法取回
這種方式雖然古老,但也是新手們的重災區。騙子直接將自己的錢包私鑰公開給你,往往該錢包中還有數額不小的其他資產。他有可能謊稱自己不會操作,請求你幫助他操作錢包轉入一定數量的TRX,並且轉出等額的穩定幣資產。
用戶可能認爲自己佔了便宜,導入對方的私鑰或助記詞,並且往該錢包中轉入TRX。此時,多籤陷阱就會被觸發。
騙子給的錢包其實已經被設置成多籤錢包,因此此時即使你得到了他的私鑰,也無法順利操作其中的資產,而你轉入的資產就有去無回了。
第四種,點擊釣魚鏈接造成權限變更
這一種可能是用戶點擊釣魚鏈接而導致錢包的權限被更改。例如,騙子構造一個以低價購買各類卡券或充值的網站,當用戶使用他們提供的鏈接進行充值時,就會調用惡意權限提升的代碼,用戶直接確認並輸入密碼簽名後,會導致自己錢包地址的權限發生變更。
TP錢包提供的實際案例顯示,用戶點擊釣魚鏈接後進行轉賬,錢包會直接給出提示,告知用戶本次操作其實並不是一次單純的轉賬,而是在“調用升級賬號權限”的功能。一旦用戶點擊確認後也就意味着向騙子授權多籤。而當用戶的錢包地址被惡意多籤後,這時再進行轉賬就會出現問題,也有可能讓對方利用更多的權限轉移資金。
