Apa kebenaran tentang penipuan multi-tanda tangan yang menargetkan dompet Tron, dan bagaimana pengguna dapat memastikan keamanan aset mereka?

Baru-baru ini, pengguna TRON dan komunitas TokenPocket telah melaporkan bahwa dompet mereka secara misterius diatur dengan "multi-tanda tangan", sehingga tidak mungkin mengirim dan menerima aset kripto dengan lancar. Yang lebih serius adalah aset di dompet tersebut dicuri.
Apa yang ditemui pengguna di atas adalah penipuan multi-tanda tangan yang menargetkan dompet TronLink dan dompet TokenPocket.
Bagi pendatang baru yang baru memasuki dunia kripto, cara menggunakan dompet dengan benar selalu menjadi topik yang tidak bisa dihindari. Seluruh dunia kripto seperti hutan gelap, dan penipuan seputar dompet tidak ada habisnya. Pengguna akan kehilangan asetnya jika tidak berhati-hati.
Jadi apa sebenarnya mekanisme multi-tanda tangan ini, dan mengapa beberapa pengguna menyukainya? Apakah ada masalah dengan desain mekanisme keamanan TRON, atau apakah ini jebakan yang disengaja oleh penipu? Jika Anda menggunakan dompet yang disebutkan di atas, atau ingin memahami prinsip mekanisme multi-tanda tangan TRON untuk menghindari penipuan, artikel ini akan membantu Anda.
Apa alasan penandatanganan berlebihan?
Pertama-tama kita dapat memahami mekanisme multi-tanda tangan TRON.
Secara umum, setiap transaksi di dompet Anda harus "ditandatangani" sendiri sebelum dapat dieksekusi; tanda tangan ini dapat dimasukkan dengan memasukkan kata sandi yang Anda tetapkan, atau dengan memasukkan sidik jari Anda di ponsel Anda. Dalam hal ini, "Anda sendiri yang memutuskan apakah akan menyimpan dana di rekening Anda." Anda hanya perlu menandatangani untuk menyelesaikan transfer aset kripto di akun Anda.
Namun ada juga skenario di mana "beberapa orang bersama-sama memutuskan apakah akan menyimpan dana akun", seperti aset terenkripsi bersama antara tim dan perusahaan, atau Anda memiliki dua dompet untuk tujuan asuransi transaksi akan dilewati. Dalam kasus seperti ini, satu akun dapat dikelola dengan beberapa kunci privat, dan transaksi yang dibuat dalam satu akun dapat ditandatangani dengan beberapa kunci privat, sehingga memungkinkan banyak orang untuk bersama-sama mengelola aset kripto dengan bobot berbeda.
Dalam antarmuka dompet TronLink dan dompet TokenPocket TRON, mekanisme multi-tanda tangan dapat diatur untuk memenuhi skenario penggunaan dan kebutuhan yang berbeda.
Sumber gambar: Dokumentasi Dompet TRON
Sekarang setelah kita memahami apa itu multi-signing, mari kita lihat kemungkinan alasan mengapa pengguna melakukan multi-signed.
Tipe pertama adalah pengguna secara aktif menyiapkan tanda tangan multi-tanda tangan.
Beberapa pemula secara keliru mengatur multi-tanda tangan saat menjelajahi fungsi dompet. Ketika aset ditransfer, karena pengaturan multi-tanda tangan, setidaknya diperlukan dua alamat dompet untuk menandatangani dan mengonfirmasi transaksi. Saat ini, hanya satu dompet di tangan pengguna tidak dapat menyelesaikan seluruh transaksi, menyebabkan transaksi diblokir .
Situasi ini disebabkan oleh kesalahan pengoperasian pengguna, dan aset pengguna masih aman. Situasi ini relatif mudah untuk diselesaikan. Pengguna hanya perlu memenuhi persyaratan multi-tanda tangan selama transaksi, atau membatalkan pengaturan multi-tanda tangan dan menjalankan transaksi dengan tanda tangan terpisah.
Jenis kedua adalah kunci pribadi pengguna bocor, sehingga mengakibatkan banyak tanda tangan oleh orang lain.
Skenario paling umum adalah pengguna mengunduh dompet palsu melalui situs web phishing. Kunci pribadi dan frasa mnemonik juga dihasilkan ketika pengguna menggunakan perangkat lunak dompet palsu.
Namun, dompet palsu dapat mencuri kunci pribadi/frasa mnemonik, yang berarti bahwa kendali atas dompet pengguna hilang; saat ini, melalui mekanisme multi-tanda tangan, pencuri dapat mengatur alamatnya dan alamat Anda menjadi multi-tanda tangan , dan ketika pengguna mentransfer uang secara terpisah Terkadang Anda akan menyadari bahwa hal itu tidak dapat berjalan dengan lancar. Karena pihak lain memiliki kunci pribadi Anda dan bekerja sama dengan akun multi-tanda tangan miliknya, dia dapat mentransfer dana Anda.
Jenis ketiga adalah pihak lain dengan sengaja membocorkan kunci pribadi melalui phishing, sehingga mengakibatkan ketidakmampuan untuk mengambil dana yang ditransfer.
Meskipun metode ini kuno, metode ini juga merupakan metode yang paling terkena dampaknya bagi pemula. Penipu secara langsung mengungkapkan kunci pribadi dompet mereka kepada Anda, dan sering kali terdapat sejumlah besar aset lain di dompet tersebut. Dia mungkin berbohong bahwa dia tidak tahu cara mengoperasikannya dan meminta Anda membantunya mengoperasikan dompet untuk mentransfer sejumlah TRX dan mentransfer aset stablecoin dalam jumlah yang sama.
Pengguna mungkin mengira mereka mengambil keuntungan, mengimpor kunci pribadi atau frasa mnemonik pihak lain, dan mentransfer TRX ke dompet. Pada titik ini, jebakan multi-tanda akan terpicu.
Dompet yang diberikan oleh penipu sebenarnya telah diatur sebagai dompet multi-tanda tangan, jadi meskipun Anda mendapatkan kunci pribadinya saat ini, Anda tidak akan dapat mengoperasikan aset di dalamnya dengan lancar, dan aset yang Anda transfer tidak akan pernah bisa. dikembalikan.
Sumber gambar: Dompet TP
Keempat, mengklik link phishing menyebabkan perubahan izin
Kemungkinannya adalah pengguna mengklik link phishing sehingga menyebabkan izin dompet diubah. Misalnya, penipu membuat situs web untuk membeli berbagai kartu, kupon, atau mengisi ulang dengan harga murah. Saat pengguna menggunakan tautan yang mereka sediakan untuk mengisi ulang, mereka akan memanggil kode eskalasi izin berbahaya setelah pengguna secara langsung mengonfirmasi dan memasukkan kata sandi untuk menandatanganinya akan menyebabkan dia Izin alamat dompet telah berubah.
Kasus aktual yang diberikan oleh TP Wallet menunjukkan bahwa ketika pengguna mengklik tautan phishing untuk mentransfer uang, dompet akan langsung memberikan konfirmasi untuk memberi tahu pengguna bahwa operasi ini bukan transfer sederhana, tetapi fungsi "memanggil untuk meningkatkan izin akun ". Setelah pengguna mengklik untuk mengonfirmasi, itu berarti memberikan otorisasi banyak tanda tangan kepada penipu. Jika alamat dompet pengguna memiliki banyak tanda tangan yang berbahaya, masalah mungkin timbul saat mentransfer dana, dan hal ini juga memungkinkan pihak lain menggunakan lebih banyak izin untuk mentransfer dana.
Sumber gambar: Dompet TP
Keamanan multi-tanda tangan memerlukan keamanan kunci pribadi terlebih dahulu.
Dari empat situasi multi-tanda tangan yang umum di atas, kita dapat melihat bahwa kebocoran kunci pribadi pengguna atau mempercayai tautan dan dompet phishing orang lain adalah alasan langsung hilangnya aset.
Di antara penipuan tersebut, mekanisme multi-tanda tangan lebih merupakan metode "lay-on" dan digunakan oleh penipu sebagai sarana untuk mewujudkan penipuan tersebut.
Ini jelas bukan titik awal dari mekanisme multi-tanda tangan TRON.
Kita dapat menganggap mekanisme multi-tanda tangan dompet TRON sebagai kombinasi kunci anti-pencurian yang lebih aman, yang memerlukan pembukaan beberapa lubang kunci untuk memindahkan aset di rumah. Namun keamanan semacam ini memiliki prasyarat, yaitu pengguna harus tetap mempertahankan izin aslinya. Jika semua kunci untuk membuka kunci ada di tangan satu orang, maka kunci anti maling terbaik akan kehilangan nilainya.
Melihat masalah penipuan dompet saat ini dan mekanisme multi-tanda tangan TRON secara bersamaan, tidak sulit untuk menemukan bahwa dalam banyak kasus pengguna membuat kesalahan yang tidak disengaja, dan mekanisme multi-tanda tangan itu sendiri tidak memiliki masalah. Masalahnya lebih banyak berasal dari lingkungan - - Kemampuan teknis pengguna dan penipu di dunia enkripsi tidak setara, dan industri ini tidak memiliki peringatan dini, identifikasi, dan tindakan pencegahan teknis yang lebih matang pada tahap awal.
Namun, dalam kondisi saat ini, meskipun TRON menyediakan mekanisme multi-tanda tangan di sisi pengguna, dapatkah TRON juga melangkah lebih jauh dalam sisi pengembangan dan menggunakan teknologi untuk mengurangi kemungkinan penipuan sebanyak mungkin?
Mekanisme multi-tanda tangan TRON saat ini hanya dapat digunakan di dompet TronLink dan dompet TokenPocket.
Saat ini, mengingat multi-tanda tangan melibatkan tanda tangan kunci privat yang relatif sensitif, TRON telah menutup layanan antarmuka yang melibatkan tanda tangan kunci privat dalam manual referensi API.
Selain itu, dompet dan produk terkait lainnya dapat mengevaluasi multisig berdasarkan kebutuhan spesifiknya dan memutuskan apakah dan bagaimana menampilkan perintah yang relevan kepada pengguna. Oleh karena itu, apakah mekanisme multi-tanda tangan TRON disajikan kepada pengguna bukanlah “opsi yang diperlukan.” Dan ketika opsi ini tersedia, hal ini tidak mengorbankan keamanan dan keandalan.
Namun, keamanan tertinggi suatu aset tetap tidak terlepas dari peningkatan kesadaran keamanan batin pengguna. Berharap lebih sedikit tentang kue di langit, lebih berhati-hati terhadap jebakan godaan, dan waspada terhadap kemungkinan penipuan, dan keamanan seluruh dunia enkripsi akan semakin ditingkatkan.