近期,TRX多重簽名騙局異常猖獗,騙子通過誘導用戶下載假imToken等方式獲取用戶的助記詞,但是卻不直接將用戶的資產盜走,而是通過修改用戶的TRX錢包賬戶權限,導致用戶失去對賬戶內資產的控制權,只能將代幣轉入錢包,卻無法轉出。
本文將揭秘TRX多重簽名騙局具體是如何實施的,以及我們該如何防范這類騙局。
什么是TRX多重簽名騙局
當我們創建了一個TRX錢包后,這個錢包賬戶默認的擁有者權限為賬戶本人,閾值為1,即錢包轉賬需持有一個擁有者權限的地址進行簽名授權才能發起。
V神:建立安全的加密投票系統要面臨巨大的技術挑戰:V神剛剛發推稱,建立一個安全的加密投票系統所面臨的技術挑戰是巨大的(而且經常被低估),但我認為這是完全正確的。[2020/11/5 11:42:25]
注:擁有者權限是指一個TRX賬戶的最高權限,具有該權限的地址可進行該賬戶內的所有操作。
而當騙子獲取了用戶助記詞,對其TRX賬戶權限進行修改后,用戶地址的擁有者權限變為用戶本人和騙子共同持有,閾值為2,即錢包轉賬需要兩個擁有者權限的地址——用戶的地址和騙子的地址,共同簽名授權才能發起。
動態 | 2019年區塊鏈安全事件總結:全球損失超60億美元:在2019年數字資產犯罪案件中,美國占比為28%為全球最多,歐洲占24%,其后為中國占比18%。成都鏈安統計,從2019年1月至2019年12月中旬,全球約發生超萬次數字資產黑客事件,我國發生的與數字資產相關刑事案件多達2000件,涉及包括黑客攻擊盜幣、詐騙、非法集資、洗錢、暗網非法交易等,總計損失超60億美元,網絡犯罪和暗網交易類涉案金額大體相當,項目方跑路類涉案金額是前二者的2倍還多,其中由于系統漏洞對區塊鏈造成的損失超過10億美元。[2019/12/19]
由于此時TRX錢包的轉賬需要多重簽名才能完成,所以這類騙局被成為TRX多重簽名騙局。
動態 | CertiK入選Etherscan智能合約安全審計推薦名單:據Ehterscan官網信息,CertiK入選Etherscan智能合約安全審計推薦名單,預計將為全球更多的智能合約提供安全護盾。Etherscan是以太坊主導的全球知名區塊鏈瀏覽與分析平臺,也是以太坊及其智能合約活動的重要入口。CertiK 是一家形式化驗證安全審計公司,致力于通過與深度規范技術(DeepSpec)重塑人們對智能合約和區塊鏈安全的信任。作為多家交易所指定的代碼審計機構,CertiK迄今為止已為數十個區塊鏈項目提供了智能合約的形式化驗證服務。[2018/7/18]
這就意味著,當用戶的TRX賬戶被騙子更改為需多重簽名的地址后,用戶發起的任何交易,都需要騙子的簽名授權才能完成,如果只是用戶單方面發起交易,就會遇到類似「server:SIGERROR」的報錯。
你可能會疑惑,為什么用戶擁有自己賬戶的助記詞/私鑰,也無法「獨立完成」資產的轉出操作。
以合伙開公司的例子解釋一下,你就明白了。假設有一家公司有兩個合伙人,他們在這家公司成立之初規定:所有的重大決策要兩個合作人都同意進行簽名授權,即多重簽名,才可以執行。若有一方不同意,決策則不通過。
被騙子修改為多重簽名的TRX賬戶就像是這樣一家公司,即便用戶持有錢包助記詞,但也已經無法「獨立完成」對這個錢包的轉賬等重大操作。
用戶只能將資產轉入這個賬戶,卻無法轉出,騙子就是利用這一點從而「放長線釣大魚」,等到用戶在賬戶中積累了足夠的資產后再一次性盜走。如果一個用戶從來都是只收款不轉賬,且不去鏈上查看自己的賬戶權限,那他可能會一直蒙在鼓里并持續地向這個賬戶轉錢。
另外,騙子除了通過誘導用戶下載假imToken方式外,還會通過以下兩類方式利用多重簽名詐騙:
在Telegram等社交平臺推廣充值網站,誘導用戶使用數字資產進行充值,實際上是趁用戶充值時獲取賬戶的擁有者權限,導致用戶失去對賬戶的控制權;在Telegram、微信等社交平臺公開自己的助記詞/私鑰,誘導用戶轉入TRX作為手續費以轉走錢包內的資產,但實際騙子早已將擁有者權限轉移,最終導致用戶損失TRX。安全提醒
imToken安全團隊在此提醒大家
下載imToken請認準官網:https://token.im/天下不會有免費的午餐,切莫貪小便宜定期檢查TRX錢包賬戶權限如何查詢賬戶權限
1.打開TRX錢包,切換至「瀏覽」頁面輸入TRONSCAN并打開。
2.在輸入框輸入錢包地址并搜索,跳至賬戶信息頁面并下滑至「賬戶權限」板塊。
3.如圖所示,如果有且只有你的地址持有擁有者權限,說明你的賬戶權限是安全的。
Tags:TRXTOKEN區塊鏈TOKETRX波場幣是用來干啥的FairyLand Tokenvp幣區塊鏈價格Tec Token
以太坊價格在過去24小時內下跌了7.5%,因為上周FTX“黑客攻擊”的收益已開始投放市場。截至撰寫本文時,與此漏洞相關的地址繼續持有超過200,000ETH,這表明第二大加密的價格可能在未來幾周.
1900/1/1 0:00:00尊敬的T網用戶: 當前我們發現有社區冒充T網官方社區進行宣傳,請您再次確認Tokencan官方社區相關鏈接三協會發布《關于再次規范數字藏品健康發展的自律要求》:金色財經報道.
1900/1/1 0:00:00您可能已經知道答案,但我們還要討論其他一些非常有趣的事情。實際上,我們在傳統風險資產市場度過了相當不錯的一周。我們的CPI遠低于預期,按客觀標準來看仍然很高,但市場似乎喜歡它.
1900/1/1 0:00:00萊特幣逆市下跌,在過去一周上漲19%,位居前100名。在過去24小時的價格表現中,LTC從發稿時的61.53美元上漲13.7%至70.10美元.
1900/1/1 0:00:00灰度在市場高度恐慌之際,以離奇理由公開強調不愿透露儲備證明,同時又發布一份高呼透明性的專文,此舉導致其GBTC折價再次下挫,旗下各大信托基金的折價也持續擴張.
1900/1/1 0:00:00為慶祝“2022卡塔爾世界杯”正式開啟,Doex將面向全球為合約球迷用戶提供“合約競猜”福利活動,用戶將全程參與“世界杯”的比賽全過程,將享受邊交易、邊競猜的樂趣玩法.
1900/1/1 0:00:00