I truffatori sfruttano i wallet multifirma ingannando le vittime e portandole a concedere l'accesso come cofirmatario o la piena proprietà, trasformando una funzione di sicurezza in una vulnerabilità.
Tattiche comuni includono trappole seed phrase che inducono le vittime a finanziare wallet controllati da truffatori e acquisizioni di permessi che escludono le vittime aggiungendo i truffatori come co-proprietari o proprietari.
Proteggiti non importando mai seed phrase fornite da altri, non condividendo mai la tua seed phrase, controllando sempre le transazioni prima di firmare, verificando attentamente i siti web e controllando regolarmente le autorizzazioni del tuo wallet.
“Più firme significano maggiore sicurezza.” Ma cosa succede se una di loro ora appartiene a un truffatore?
La funzionalità MultiSig (o multifirma) è stata progettata per migliorare la sicurezza crypto richiedendo le firme di più chiavi private per approvare una transazione. Invece di un singolo punto di vulnerabilità, il controllo è distribuito, in modo che anche se una chiave viene compromessa, un hacker non dovrebbe essere in grado di spostare fondi senza le altre.
Tuttavia, questo livello di protezione aggiuntivo è recentemente diventato un'arma a doppio taglio su TRON. I truffatori stanno sfruttando il sistema di autorizzazioni flessibile della rete che consente agli utenti di controllare in modo dettagliato chi può accedere e gestire i loro account. In questo blog, analizzeremo come MultiSig viene trasformato da scudo a arma – e a cosa gli utenti di TRON devono prestare attenzione.
Gli account TRON utilizzano un sistema di autorizzazioni che consente un controllo dettagliato su quali azioni possono essere eseguite da chiavi diverse. Per i nostri scopi, due tipi di autorizzazioni chiave sono i più rilevanti:
Permesso del proprietario: Controlla azioni di alto livello come la modifica delle autorizzazioni dell'account o il trasferimento della proprietà.
Permesso attivo: Gestisce le operazioni regolari come il trasferimento di fondi o l'interazione con smart contract.
Per essere eseguita, qualsiasi transazione sulla rete TRON deve essere firmata da una chiave privata o da una combinazione di chiavi in una configurazione multifirma che abbia l'autorizzazione appropriata e soddisfi la soglia richiesta per quella specifica azione.
In una tipica truffa MultiSig, l'aggressore trova un modo per diventare uno dei firmatari richiesti, inducendo la vittima a concedere l'accesso o sfruttando difetti di smart contract o autorizzazioni specifiche di una piattaforma. Sulla rete TRON, questa tattica assume due forme.
Queste truffe pubblicano seed phrase o chiavi private su più piattaforme come YouTube e X, sperando di attirare utenti ignari a interagire con esse.
La configurazione: I truffatori affermano di non sapere come trasferire fondi da un wallet. Condividono pubblicamente la seed phrase, chiedendo ad altri di importarla e aiutare a trasferire i fondi, a volte promettendo persino una ricompensa.
L'esca: Il wallet sembra contenere una grande quantità di token o USDT, tentando le vittime a trasferire rapidamente i fondi.
La trappola: Anche se il wallet contiene molti token, non ha abbastanza TRX, la crypto nativa necessaria per pagare le commissioni di transazione. Le vittime, desiderose di spostare i fondi, spesso inviano i propri TRX per coprire queste commissioni.
La realizzazione: Dopo aver finanziato il wallet con TRX, le vittime scoprono che non possono completare alcuna transazione perché il wallet è effettivamente controllato dal truffatore. Lo scammer quindi trasferisce i TRX inviati dalla vittima, causando una perdita per l'utente.
Poiché la configurazione MultiSig del wallet richiede più firme – firme che le vittime non possiedono – gli utenti che inviano piccole quantità di TRX per coprire le commissioni di transazione finiscono per non poter spostare i fondi. I truffatori seminano questi wallet pubblicamente sui social media, sperando che molte persone abbocchino e inviino TRX senza alcun contatto diretto. Nel tempo, i truffatori raccolgono passivamente quantità significative di TRX mantenendo il pieno controllo bloccato.
Non tutte le truffe MultiSig sono semplici trappole di adescamento e attesa. Alcune sono molto più sofisticate e sinistre, progettate per ingannarti facendoti aggiungere il truffatore come co-proprietario o cofirmatario del tuo wallet. Una volta ottenuta questa posizione, possono bloccare i tuoi fondi o, in alcuni casi, prendere il pieno controllo del tuo wallet e svuotarlo completamente.
La configurazione: I truffatori indirizzano gli utenti verso siti web dannosi fingendosi personale di supporto di un exchange o promuovendo opportunità di airdrop false tramite i social media.
L'esca: Vieni invitato a riscattare un airdrop o collegare il tuo wallet per partecipare a una promozione. L'obiettivo? Convincerti a firmare una transazione apparentemente innocua.
La trappola: La transazione non è ciò che sembra. Invece di riscattare una ricompensa, stai inconsapevolmente approvando un aggiornamento delle autorizzazioni dell'account. I dettagli sono sepolti in un gergo confuso o nascosti dietro un vago pulsante "Approva".
La realizzazione: Una volta firmata la transazione, le autorizzazioni del tuo wallet vengono modificate. In alcuni casi, i diritti di proprietà completi vengono trasferiti al truffatore. In altri casi, lo scammer si aggiunge come cofirmatario, rendendosi un partecipante obbligatorio per tutte le future transazioni.
Con il wallet che ora richiede più firme per spostare qualsiasi fondo – firme che non controlli più – sei effettivamente bloccato fuori.
Nota: Tattiche simili sono state osservate anche su Solana. Lì, i truffatori ingannano gli utenti convincendoli a firmare transazioni che trasferiscono l'autorità sugli account token o concedono ampi diritti di esecuzione, portando allo stesso risultato: perdita del controllo.
Proteggi la tua seed phrase: La tua seed phrase è la chiave principale del tuo wallet. Non condividerla mai con nessuno e non importare mai chiavi private o seed phrase fornite da altri, indipendentemente dal motivo.
Fermati e rifletti prima di firmare: Controlla sempre attentamente ciò che stai per approvare. Che si tratti di una transazione o di un messaggio, prenditi un momento per comprendere ciò che stai firmando.
Verifica gli URL dei siti web: Fai attenzione a segnali d'allarme come errori di ortografia, caratteri strani o layout insoliti. Questi possono indicare siti di phishing progettati per imitare piattaforme reali.
Controlla le autorizzazioni del tuo wallet: Utilizza un chain explorer come tronscan.org per verificare le impostazioni delle autorizzazioni di qualsiasi wallet:
Incolla l'indirizzo wallet nella barra di ricerca.
Sulla pagina dell'account del wallet, cerca eventuali evidenziazioni di autorizzazioni che indicano modifiche.
Clicca sul pulsante [Visualizza autorizzazioni account] o sulla sezione [Autorizzazioni account] nella pagina per controllare tutti i dettagli su chi controlla il wallet e quale livello di accesso possiedono.
Rimani vigile e informato: Nel Web3, la tua miglior difesa non è solo una password forte – è rimanere informato. Da trappole seed phrase ad appropriazioni delle autorizzazioni dell'account, i truffatori stanno diventando creativi nel modo in cui sfruttano funzionalità come MultiSig su TRON. Non lasciare che ti colgano impreparato. Rimani aggiornato sulle tattiche di truffa in evoluzione seguendo risorse affidabili come Binance Academy, la nostra serie Know Your Scam e i blog sulla sicurezza. Più impari, più è difficile ingannarti. La conoscenza non è opzionale. È una corazza.
I wallet multifirma sono progettati per la sicurezza, ma nelle mani sbagliate possono diventare armi contro di te. La buona notizia è che non è necessario essere esperti di tecnologia per rimanere al sicuro: basta rimanere vigili e mettere in discussione tutto. Non condividere mai la tua seed phrase, non importare chiavi da sconosciuti e non firmare transazioni alla cieca. Abituati a controllare regolarmente le autorizzazioni del tuo wallet e, soprattutto, continua a imparare – perché nel Web3, la conoscenza non è solo potere, è il tuo livello di protezione più forte!
