最近、一部のコミュニティ ユーザーが、TRON ウォレットに不可解な多重署名が行われ、トークンが動作不能になったと報告しました。この種の問題に対応して、ユーザーが TRON マルチシグネチャの原理を理解し、悪意を持ってアクセス許可を変更する危険性を認識し、資産のセキュリティをより適切に保護できるようにしたいと考え、TRON マルチシグニチャに関するこの一般的な科学をまとめました。
トロンマルチサインシナリオ
ユーザーとのコミュニケーションと関連データの検証に基づいて、複数の署名につながる可能性のある次のシナリオが得られました。
1. マルチ署名を自分で設定する場合、署名を実行するためのアドレスを自分で管理する必要があります。
2. 偽のウォレットを使用すると秘密鍵ニーモニックが漏洩し、相手に取得されてマルチ署名が設定される。
3. ネットワークから取得した秘密キーのニーモニックフレーズをウォレットにインポートすると、アドレスが多重署名されます。
4. サードパーティの悪意のあるリンクが実行され、署名によって権限変更操作が完了しました。
一文の要約:
TRON ウォレット アドレスが作成されると、デフォルトの単一重み設定が設定され、アドレスが多重署名されている場合は、秘密キーまたはニーモニック フレーズの漏洩、または変更が原因であると考えられます。悪意のあるリンクの実行によって引き起こされるアクセス許可の制限。
Tron マルチシグネチャの概要
TRONのマルチ署名メカニズムは、しきい値と重みを設定することで特定の操作を制限し、複数の署名者の共同確認でのみ実行できるセキュリティ対策です。
TRON マルチ署名メカニズムでは、しきい値は、特定の操作を実行するために何人の署名者を確認する必要があるかを指します。たとえば、しきい値が 2 の場合、特定の操作を実行するときは、少なくとも署名者の重みが確認のためのしきい値以上である必要があります。しきい値はマルチ署名契約に設定でき、特定のニーズに応じて調整できます。
重みは各署名者の重みを指し、複数署名操作における各署名者の割合を決定します。たとえば、しきい値が 2 に設定され、2 人の署名者の重みが 1 である場合、特定の操作を実行するときに、重みが 1 の 2 人の署名者からの確認が有効になる必要があります。重みの設定は契約で設定する必要があり、すべての署名者の重みの合計が合計重み以上であるという要件を満たす必要があります。
一文の要約:
しきい値と重みを設定することで、Tron マルチ署名メカニズムはコントラクトのセキュリティを向上させ、コントラクトが不正な操作によって改ざんされたり、攻撃者が悪意のある操作を実行するために使用したりするのを防ぐことができます。
Tron マルチシグ詐欺
TRON の変更許可と承認 (承認) には違いがあります。許可後は許可されたトークンのみが影響を受けますが、許可を変更すると TRON のアドレス許可が変更され、その結果アドレスの管理許可が失われます。
Tron による許可に対する悪意のある変更は、ほとんどが TRC20 を使用してリチャージするプロセスで発生します。たとえば、ガソリン カードやギフト カードを非常に低価格で購入したり、一部の確認コード プラットフォームを使用してリチャージしたりするなどです。基本的に、ユーザーがリチャージするために提供したリンクを使用すると、ユーザーが署名するためのパスワードを確認して入力すると、アドレスの権限が変更されるコードが呼び出されます。 。
以下は、悪意を持って権限が変更される典型的なケースです。
ユーザーは何らかのチャネルを通じてサードパーティのリンクを取得し、ウォレットにジャンプして、悪意のあるリンクのリチャージ入口を介してインターフェイスを開きました (以下を参照)。支払いアドレスには、トークンの契約アドレスが入力されます。「すぐに支払う」をクリックすると、転送用のアドレスをコピーしないよう求めるメッセージが表示されます。これは、ユーザーが自分のアドレスをコピーして悪意のあるコードを回避することを防ぐための、詐欺師による「親切な注意喚起」です。転送を実行します。
「確認」をクリックすると、詳細インターフェースがポップアップ表示されます。下の図では、3 つの矢印で示された位置が、進行中の操作とその操作によって生じる可能性のあるリスクを示しています。 2 番目の矢印の位置をクリックすると、アクセス許可の変更による影響とリスクが表示されます。リスク プロンプトを無視して操作を実行すると、アクセス許可が悪意のある変更を受けることになります。この時点で送金しようとすると、実際にはアドレス変更を制御できなくなったというエラー メッセージが表示されます。
一文の要約:
マルチ署名設定の本来の目的は、ユーザー資産をより適切に保護することですが、詐欺師が慎重に使用すると、資産を盗むためのツールになってしまいます。したがって、ウォレットに表示されるすべてのプロンプトを必ず注意深く確認してください。これらの内容は広範な調査を経て追加された情報であり、大多数のユーザーに適しています。
複数署名詐欺の防止
TokenPocket は、Tron の権限変更操作に対する早期警告プロンプトを長年サポートしてきました。ほとんどの詐欺を回避するには、ウォレットに表示されるプロンプト情報を注意深く確認するだけで済みます。同時に、インターネット上でギフト カード、ガソリン カード、確認コードなどを誤って宣伝するさまざまな Web サイト、特にリチャージ ジャンプ サービスを提供するリンクを信じず、それらのリチャージに参加しないでください。通常のリチャージサービスの場合は、相手の支払いアドレスを使用して資金を送金するだけで操作が完了します。
一文の要約:
同様の詐欺的なリンクに遭遇した場合は、メール service@tokenpocket.pro に送信して報告してください。検証後、リンクをローカライズして、より多くの TokenPocket ユーザーが騙されるのを防ぎます。