Care este adevărul despre escrocheria cu semnături multiple care vizează portofelul Tron și cum pot utilizatorii să asigure siguranța activelor lor?

Recent, utilizatorii de pe TRON și comunitatea TokenPocket au raportat că portofelele lor au fost configurate în mod inexplicabil cu „multi-semnătură”, ceea ce face imposibilă trimiterea și primirea criptoactivilor fără probleme.
Ceea ce au întâlnit utilizatorii menționați mai sus a fost o înșelătorie cu mai multe semnături care vizează portofelul TronLink și portofelul TokenPocket.
Pentru noii veniți care tocmai au intrat în lumea cripto, cum să-și folosească corect portofelul este întotdeauna un subiect inevitabil. Întreaga lume cripto este ca o pădure întunecată, iar fraudele din jurul portofelelor sunt nesfârșite. Utilizatorii își vor pierde activele dacă nu sunt atenți.
Deci, ce este exact acest mecanism cu semnături multiple și de ce unii utilizatori se îndrăgostesc de el? Există o problemă cu proiectarea mecanismului de securitate al lui TRON sau este o capcană deliberată a fraudătorilor? Dacă utilizați portofelele menționate mai sus sau doriți să înțelegeți principiile mecanismului de semnătură multiplă TRON pentru a evita înșelătoriile, acest articol vă va fi de ajutor.
Care este motivul pentru a fi suprasemnat?
Putem înțelege mai întâi mecanismul multi-semnături al lui TRON.
În general, fiecare tranzacție din portofel trebuie să fie „semnată” de dvs. înainte de a putea fi executată, această semnătură poate fi introdusă prin introducerea parolei pe care ați setat-o ​​sau prin introducerea amprentei dvs. pe telefonul mobil. În acest caz, „tu singur decizi dacă păstrezi fondurile în contul tău”. Trebuie doar să semnați pentru a finaliza transferul de active cripto în contul dvs.
Dar există și scenarii în care „mai multe persoane decid în comun dacă să păstreze fondurile contului”, cum ar fi activele criptate comune ale echipei și ale companiei, sau aveți două portofele în scopuri de asigurare Când ambele portofele sunt de acord cu tranzacția tranzacția va fi trecută. Într-un astfel de caz, un cont poate fi gestionat de mai multe chei private, iar tranzacțiile create într-un singur cont pot fi semnate de mai multe chei private, permițând mai multor persoane să gestioneze în comun activele cripto cu greutăți diferite.
În portofelul TronLink și interfața portofelului TokenPocket de la TRON, mecanismele cu semnături multiple pot fi configurate pentru a răspunde diferitelor scenarii și nevoi de utilizare.
Sursa imagine: TRON Wallet Documentation
Acum că înțelegem ce este semnarea multiplă, să ne uităm la posibilele motive pentru care utilizatorii sunt multisemnați.
Primul tip este că utilizatorul setează în mod activ semnături cu mai multe semnături.
Unii începători au configurat din greșeală multi-semnătură atunci când explorează funcțiile portofel. Când activele sunt transferate, din cauza setării de semnături multiple, sunt necesare cel puțin două adrese de portofel pentru a semna și a confirma tranzacția. În acest moment, doar un portofel în mâna utilizatorului nu poate finaliza întreaga tranzacție, ceea ce face ca tranzacția să fie blocată. .
Această situație este cauzată de operarea greșită a utilizatorului, iar activele utilizatorului sunt încă în siguranță. Această situație este relativ simplu de rezolvat. Utilizatorul trebuie doar să îndeplinească cerințele de semnătură multiplă în timpul tranzacției sau să anuleze setarea de semnătură multiplă și să execute tranzacția cu o semnătură separată.
Al doilea tip este că cheia privată a utilizatorului este scursă, rezultând semnături multiple de către alții.
Cel mai obișnuit scenariu este că utilizatorii descarcă portofele false prin site-uri web de phishing. Cheile private și frazele mnemonice sunt, de asemenea, generate atunci când utilizatorii folosesc software pentru portofel fals.
Totuși, portofelul fals poate fura cheia privată/fraza mnemonică, ceea ce înseamnă că se pierde controlul portofelului utilizatorului în acest moment, prin mecanismul cu semnături multiple, hoțul poate seta adresa lui și a ta împreună în multisemnătură; , iar când utilizatorul transferă bani separat Uneori veți constata că nu se poate desfășura fără probleme. Deoarece cealaltă parte are cheia dumneavoastră privată și cooperează cu contul său cu semnături multiple, el vă poate transfera fondurile.
Al treilea tip este că alții scurg în mod deliberat cheia privată prin phishing, ceea ce duce la incapacitatea de a recupera fondurile transferate.
Deși această metodă este veche, este și zona cea mai afectată pentru începători. Escrocii vă dezvăluie direct cheile private ale portofelului și adesea există cantități considerabile de alte active în portofel. El poate minți că nu știe să opereze și să vă ceară să-l ajutați să opereze portofelul pentru a transfera o anumită sumă de TRX și a transfera o cantitate egală de active stablecoin.
Utilizatorii pot crede că profită, importă cheia privată sau expresia mnemonică a celeilalte părți și transferă TRX în portofel. În acest moment, capcana cu semne multiple va fi declanșată.
Portofelul dat de escroc a fost de fapt configurat ca un portofel cu semnături multiple, așa că, chiar dacă primiți cheia lui privată în acest moment, nu veți putea opera fără probleme activele din el, iar activele pe care le-ați transferat nu vor fi niciodată fi returnat.
Sursa imagine: TP Wallet
În al patrulea rând, un clic pe linkul de phishing provoacă modificări ale permisiunii
Această posibilitate este ca utilizatorul să facă clic pe linkul de phishing, determinând modificarea permisiunilor portofelului. De exemplu, escrocii construiesc un site web pentru a achiziționa diverse carduri, cupoane sau reîncărcare la prețuri mici. Când utilizatorii folosesc linkul pe care îl furnizează pentru a reîncărca, ei vor apela la un cod de autorizare rău intenționat, după ce utilizatorul confirmă direct și introduce parola îl va determina să Permisiunile adresei portofel s-au schimbat.
Cazurile reale furnizate de TP Wallet arată că atunci când un utilizator face clic pe un link de phishing pentru a transfera bani, portofelul va da direct o solicitare pentru a informa utilizatorul că această operațiune nu este un simplu transfer, ci o funcție de „apelare pentru a actualiza permisiunile contului. ". Odată ce utilizatorul dă clic pentru a confirma, înseamnă a autoriza mai multe semnături pentru escroc. Atunci când adresa portofelului utilizatorului este multisemnată în mod rău intenționat, pot apărea probleme la transferul de fonduri și, de asemenea, poate permite celeilalte părți să folosească mai multe permisiuni pentru a transfera fonduri.
Sursa imagine: TP Wallet
Securitatea cu semnături multiple necesită mai întâi securitatea cheii private.
Din cele patru situații obișnuite de mai sus cu semnături multiple, putem vedea că scurgerea cheii private a utilizatorului sau încrederea în linkurile și portofelele de phishing ale altora sunt motivele directe ale pierderii activelor.
Printre aceste escrocherii, mecanismul cu semnături multiple este mai degrabă o metodă „lay-on” și este folosit de fraudatori ca mijloc de a realiza înșelătoria.
Acesta nu este, evident, punctul de plecare al mecanismului de semnătură multiplă al lui TRON.
Ne putem gândi la mecanismul cu semnături multiple al portofelului TRON ca la o combinație de blocare antifurt mai sigură, care necesită deblocarea mai multor găuri ale cheii pentru a muta bunurile acasă. Dar acest tip de securitate are o condiție prealabilă, adică utilizatorii trebuie să-și păstreze permisiunile inițiale. Dacă toate cheile pentru deblocarea încuietorii sunt în mâinile unei singure persoane, atunci cea mai bună încuietoare antifurt își va pierde din valoare.
Privind la problema actuală a fraudei portofelului și la mecanismul de semnătură multiplă al TRON, nu este greu de constatat că, în majoritatea cazurilor, utilizatorii fac greșeli neintenționate, iar mecanismul de semnătură multiplă în sine nu are probleme. Problema vine mai mult din mediu - -. Capacitățile tehnice ale utilizatorilor și ale infractorilor din lumea criptării nu sunt egale, iar industriei nu aveau avertizare, identificare și contramăsuri tehnice mai mature în stadiile incipiente.
Cu toate acestea, în circumstanțele actuale, în timp ce TRON oferă un mecanism de semnătură multiplă din partea utilizatorului, poate face și un pas mai departe în ceea ce privește dezvoltarea și poate folosi tehnologia pentru a reduce cât mai mult posibil posibilitățile de fraudă?
Mecanismul actual de semnătură multiplă al TRON poate fi utilizat numai în portofelul TronLink și în portofelul TokenPocket.
În prezent, având în vedere că semnătura multiplă implică semnături de chei private relativ sensibile, TRON a închis serviciile de interfață care implică semnături de chei private în manualul de referință API.
În plus, portofelele și alte produse conexe pot evalua multisig-urile în funcție de nevoile lor specifice și pot decide dacă și cum să afișeze solicitări relevante pentru utilizatori. Prin urmare, dacă mecanismul de semnătură multiplă TRON este prezentat utilizatorilor nu este o „opțiune necesară”. Și când această opțiune devine disponibilă, nu se face în detrimentul securității și fiabilității.
Cu toate acestea, securitatea supremă a activelor este încă inseparabilă de creșterea gradului de conștientizare a securității interioare a utilizatorilor. Așteptați-vă mai puțin la plăcintă pe cer, fiți mai atenți la capcanele ispită și fiți atenți la posibile escrocherii, iar securitatea întregii lumi de criptare va fi îmbunătățită în continuare.