Recentemente, alguns usuários da comunidade relataram que a carteira TRON foi inexplicavelmente multiassinada, fazendo com que o Token se tornasse inoperante. Em resposta a esse tipo de problema, compilamos esta ciência popular sobre assinaturas múltiplas TRON, na esperança de ajudar os usuários a compreender os princípios da assinatura múltipla TRON, reconhecer os perigos de alterar permissões maliciosamente e proteger melhor a segurança dos ativos.
Cenário de múltiplos sinais Tron
Com base na comunicação com os usuários e na verificação de dados relevantes, foram obtidos os seguintes cenários que podem levar a múltiplas assinaturas.
1. Se você configurar a assinatura múltipla sozinho, precisará gerenciar o endereço sozinho para executar a assinatura;
2. O uso de uma carteira falsa faz com que o mnemônico da chave privada vaze e a assinatura múltipla seja configurada após ser obtida pela outra parte;
3. Importe a frase mnemônica da chave privada obtida da rede para a carteira, e o endereço foi multiassinado;
4. Um link malicioso de terceiros foi executado e a assinatura concluiu a operação de alteração de permissão.
Resumo de uma frase:
Depois que o endereço da carteira TRON é criado, ele tem uma configuração padrão de peso único e pode realizar qualquer operação na cadeia. Se o endereço for multiassinado, deve ser devido ao vazamento da chave privada ou frase mnemônica ou à alteração. de permissões causadas pela execução de links maliciosos.
Introdução à assinatura múltipla Tron
O mecanismo de múltiplas assinaturas do TRON é uma medida de segurança que limita operações específicas estabelecendo limites e pesos, e só pode ser executado com a confirmação conjunta de múltiplos signatários.
No mecanismo de múltiplas assinaturas TRON, o limite refere-se a quantos signatários precisam ser confirmados para realizar uma operação específica. Por exemplo, se o limite for 2, então, ao realizar uma operação específica, pelo menos o peso do signatário deverá ser maior ou igual ao limite para confirmação. Os limites podem ser definidos em contratos com múltiplas assinaturas e ajustados de acordo com necessidades específicas.
O peso refere-se ao peso de cada signatário, que determina a proporção de cada signatário na operação de múltiplas assinaturas. Por exemplo, se o limite for definido como 2 e o peso de dois signatários for 1, então, ao executar uma operação específica, a confirmação de dois signatários com peso 1 será necessária para entrar em vigor. A fixação do peso precisa ser definida no contrato e deve atender à exigência de que a soma dos pesos de todos os signatários seja maior ou igual ao peso total.
Resumo de uma frase:
Ao definir limites e pesos, o mecanismo de assinatura múltipla Tron pode melhorar a segurança do contrato e evitar que o contrato seja adulterado por operações não autorizadas ou usado por invasores para realizar operações maliciosas.
Golpe multi-sig Tron
Há uma diferença entre as permissões de alteração do TRON e a aprovação (autorização). Após a autorização, apenas o Token autorizado é afetado, enquanto a alteração das permissões levará a alterações nas permissões de endereço do TRON, perdendo assim a permissão de gerenciamento do endereço.
As alterações maliciosas nas permissões de Tron ocorrem principalmente no processo de uso do TRC20 para recarga, como compra de cartões de gás e cartões-presente a preços muito baixos, uso de algumas plataformas de código de verificação para recarga, etc. Basicamente, ele aproveita a mentalidade gananciosa das pessoas para o layout. Quando os usuários usam o link fornecido para recarregar, o código que altera as permissões de forma maliciosa será chamado. Quando o usuário confirmar e inserir uma senha para assinar, as permissões do endereço serão alteradas. .
O seguinte é um caso típico de alteração maliciosa de permissões.
O usuário obteve um link de terceiros por meio de algum canal e foi até a carteira para abrir a interface através da entrada de recarga do link malicioso (conforme mostrado abaixo). O endereço de pagamento é preenchido com o endereço do contrato do Token. Clique em Pagar imediatamente e você será solicitado a não copiar o endereço para transferência. Este é um “lembrete amigável” fornecido por golpistas para evitar que os usuários copiem seus próprios endereços e contornem códigos maliciosos. para realizar transferências.
Após clicar em Confirmar, aparece a interface de detalhes. Na figura abaixo, as posições mostradas por três setas indicam a operação em andamento e os riscos que podem resultar da operação. Clique na segunda posição da seta para visualizar os efeitos e riscos da alteração de permissões. Se você ignorar o prompt de risco e executar a operação, isso resultará em alterações maliciosas nas permissões. Se você tentar transferir dinheiro neste momento, verá uma mensagem de erro. Na verdade, você perdeu o controle da mudança de endereço.
Resumo de uma frase:
A intenção original da configuração de assinatura múltipla é proteger melhor os ativos do usuário, mas se usada com cuidado por golpistas, ela se tornará uma ferramenta para roubar ativos. Portanto, certifique-se de verificar cuidadosamente cada prompt que aparece na carteira. Esses conteúdos são informações adicionadas após extensa pesquisa e são adequados para a grande maioria dos usuários.
Prevenção de golpes com múltiplas assinaturas
O TokenPocket há muito oferece suporte a avisos antecipados para operações de alteração de permissão do Tron. Você só precisa verificar cuidadosamente as informações de aviso que aparecem na carteira para contornar a maioria dos golpes. Ao mesmo tempo, não acredite nos diversos sites que promovem falsamente cartões-presente, cartões de gás, códigos de verificação, etc. na Internet, e não participem de suas recargas, especialmente links que fornecem serviços de recarga de salto. Para serviços normais de recarga, você só precisa usar o endereço de pagamento da outra parte para transferir fundos e concluir a operação.
Resumo de uma frase:
Se você encontrar um link fraudulento semelhante, envie-o para nosso e-mail: service@tokenpocket.pro para denunciá-lo. Após a verificação, localizaremos o link para evitar que mais usuários do TokenPocket sejam enganados.