Récemment, certains utilisateurs de la communauté ont signalé que le portefeuille Tron avait été inexplicablement multi-signé, rendant le jeton inutilisable. En réponse à ce type de problème, nous avons compilé cette science populaire sur la multi-signature TRON, dans l'espoir d'aider les utilisateurs à comprendre les principes de la multi-signature TRON, à reconnaître les dangers d'une modification malveillante des autorisations et à mieux protéger la sécurité des actifs.
Scénario multi-signes Tron
Sur la base de la communication avec les utilisateurs et de la vérification des données pertinentes, les scénarios suivants pouvant conduire à plusieurs signatures ont été obtenus.
1. Si vous configurez vous-même la multi-signature, vous devez gérer vous-même l'adresse pour exécuter la signature ;
2. L'utilisation d'un faux portefeuille provoque la fuite du mnémonique de la clé privée et la multi-signature est configurée après avoir été obtenue par l'autre partie ;
3. Importez la phrase mnémonique de clé privée obtenue du réseau dans le portefeuille, et l'adresse a été multi-signée ;
4. Un lien malveillant tiers a été exécuté et la signature a complété l'opération de modification d'autorisation.
Résumé en une phrase :
Une fois l'adresse du portefeuille TRON créée, elle a un paramètre de poids unique par défaut et peut effectuer n'importe quelle opération en chaîne. Si l'adresse est multi-signée, cela doit être dû à une fuite de la clé privée ou de la phrase mnémonique ou au changement. des autorisations provoquées par l’exécution de liens malveillants.
Introduction à la multi-signature Tron
Le mécanisme multi-signature de TRON est une mesure de sécurité qui limite des opérations spécifiques en fixant des seuils et des pondérations, et ne peut être exécuté qu'avec la confirmation conjointe de plusieurs signataires.
Dans le mécanisme multi-signature TRON, le seuil fait référence au nombre de signataires qui doivent être confirmés pour effectuer une opération spécifique. Par exemple, si le seuil est 2, alors lors de l'exécution d'une opération spécifique, au moins le poids du signataire doit être supérieur ou égal au seuil de confirmation. Des seuils peuvent être fixés dans des contrats multi-signatures et ajustés en fonction des besoins spécifiques.
Le poids fait référence au poids de chaque signataire, qui détermine la proportion de chaque signataire dans l'opération multi-signature. Par exemple, si le seuil est défini sur 2 et que le poids de deux signataires est de 1, alors lors de l'exécution d'une opération spécifique, la confirmation de deux signataires avec un poids de 1 est requise pour prendre effet. La fixation du poids doit être fixée dans le contrat et doit répondre à l'exigence selon laquelle la somme des poids de tous les signataires est supérieure ou égale au poids total.
Résumé en une phrase :
En définissant des seuils et des pondérations, le mécanisme multi-signature de Tron peut améliorer la sécurité du contrat et empêcher que le contrat ne soit falsifié par des opérations non autorisées ou utilisé par des attaquants pour effectuer des opérations malveillantes.
Arnaque multi-signature TRON
Il existe une différence entre les autorisations de modification de TRON et Approuver (autorisation). Après l'autorisation, seul le jeton autorisé est affecté ; tandis que la modification des autorisations entraînera des modifications dans les autorisations d'adresse de TRON, perdant ainsi l'autorisation de gestion de l'adresse.
Les modifications malveillantes des autorisations de Tron se produisent principalement lors du processus d'utilisation de TRC20 pour recharger, comme l'achat de cartes d'essence et de cartes cadeaux à des prix très bas, l'utilisation de certaines plateformes de codes de vérification pour recharger, etc. Fondamentalement, il profite de la mentalité avide des gens en matière de mise en page. Lorsque les utilisateurs utilisent le lien qu'ils fournissent pour recharger, le code qui modifie les autorisations de manière malveillante sera appelé. Lorsque l'utilisateur confirme et saisit un mot de passe pour signer, les autorisations de l'adresse sont modifiées. .
Ce qui suit est un cas typique de modification malveillante des autorisations.
L'utilisateur a obtenu un lien tiers via un canal et a accédé au portefeuille pour ouvrir l'interface via l'entrée de recharge du lien malveillant (comme indiqué ci-dessous). L'adresse de paiement est renseignée avec l'adresse contractuelle du Token. Cliquez sur Payer immédiatement et vous serez invité à ne pas copier l'adresse pour le transfert. Il s'agit d'un « rappel amical » donné par les fraudeurs pour empêcher les utilisateurs de copier leurs propres adresses et de contourner le code malveillant. pour effectuer des transferts.
Après avoir cliqué sur Confirmer, l'interface de détails apparaît. Dans la figure ci-dessous, les positions indiquées par trois flèches indiquent l'opération en cours et les risques qui peuvent en résulter. Cliquez sur la deuxième position de la flèche pour afficher les effets et les risques liés à la modification des autorisations. Si vous ignorez l'invite de risque et effectuez l'opération, cela entraînera des modifications malveillantes des autorisations. Si vous essayez de transférer de l'argent à ce moment-là, vous verrez un message d'erreur. En fait, vous avez perdu le contrôle du changement d'adresse.
Résumé en une phrase :
L'intention initiale du paramètre multi-signature est de mieux protéger les actifs des utilisateurs, mais s'il est utilisé avec précaution par les fraudeurs, il deviendra un outil de vol d'actifs. Assurez-vous donc de vérifier attentivement chaque invite qui apparaît dans le portefeuille. Ces contenus sont des informations ajoutées après des recherches approfondies et conviennent à la grande majorité des utilisateurs.
Prévention des arnaques multi-signatures
TokenPocket prend depuis longtemps en charge les invites d'avertissement précoce pour les opérations de modification d'autorisation de Tron. Il vous suffit de vérifier attentivement les informations d'invite qui apparaissent dans le portefeuille pour contourner la plupart des escroqueries. Dans le même temps, veuillez ne pas croire les différents sites Web qui font faussement la promotion de cartes-cadeaux, de cartes d'essence, de codes de vérification, etc. sur Internet, et ne participent pas à leurs recharges, en particulier les liens qui fournissent des services de recharge. Pour les services de recharge normaux, il vous suffit d'utiliser l'adresse de paiement de l'autre partie pour transférer des fonds afin de finaliser l'opération.
Résumé en une phrase :
Si vous rencontrez un lien frauduleux similaire, veuillez l'envoyer à notre e-mail : service@tokenpocket.pro pour le signaler. Après vérification, nous localiserons le lien pour éviter que davantage d'utilisateurs de TokenPocket ne soient trompés.