Какова правда о мошенничестве с несколькими подписями, нацеленном на кошелек Tron, и как пользователи могут обеспечить безопасность своих активов?

Недавно пользователи TRON и сообщества TokenPocket сообщили, что в их кошельках по необъяснимым причинам была настроена «мультиподпись», что сделало невозможным беспрепятственную отправку и получение криптоактивов. Что еще более серьезно, активы в кошельках были украдены.
Вышеупомянутые пользователи столкнулись с мошенничеством с использованием нескольких подписей, нацеленным на кошельки TronLink и TokenPocket.
Для новичков, которые только что вошли в мир криптографии, вопрос о том, как правильно использовать свой кошелек, всегда является неизбежной темой. Весь криптомир подобен темному лесу, и мошенничество с кошельками бесконечно. Пользователи потеряют свои активы, если не будут осторожны.
Так что же это за механизм мультиподписи и почему некоторые пользователи на него ведутся? Есть ли проблема в конструкции механизма безопасности TRON или это преднамеренная ловушка мошенников? Если вы используете вышеупомянутые кошельки или хотите понять принципы механизма мультиподписи TRON, чтобы избежать мошенничества, эта статья будет вам полезна.
В чем причина переподписки?
Сначала мы можем понять механизм мультиподписи TRON.
Вообще говоря, каждая транзакция в вашем кошельке должна быть «подписана» вами, прежде чем ее можно будет выполнить; эту подпись можно ввести, введя пароль, установленный вами, или введя отпечаток пальца на своем мобильном телефоне. В этом случае «вы сами решаете, хранить ли средства на своем счете». Вам нужно только подписать, чтобы завершить передачу криптоактивов в вашу учетную запись.
Но существуют также сценарии, когда «несколько человек совместно решают, следует ли хранить средства на счете», например, совместные зашифрованные активы команды и компании, или у вас есть два кошелька в целях страхования. Когда оба кошелька соглашаются на транзакцию, транзакция будет пройдена. В этом случае одна учетная запись может управляться несколькими закрытыми ключами, а транзакции, созданные в одной учетной записи, могут быть подписаны несколькими закрытыми ключами, что позволяет нескольким людям совместно управлять криптоактивами с разным весом.
В кошельке TronLink и интерфейсе кошелька TokenPocket от TRON можно настроить механизмы мультиподписи для удовлетворения различных сценариев использования и потребностей.
 
Источник изображения: Документация TRON Wallet
Теперь, когда мы понимаем, что такое мультиподпись, давайте посмотрим на возможные причины, по которым пользователи используют мультиподпись.
Первый тип заключается в том, что пользователь активно устанавливает подписи с несколькими подписями.
Некоторые новички ошибочно настраивают мультиподпись при изучении функций кошелька. При передаче активов из-за настройки мультиподписи для подписи и подтверждения транзакции требуется как минимум два адреса кошелька. В настоящее время только один кошелек в руке пользователя не может завершить всю транзакцию, что приводит к блокировке транзакции. .
Эта ситуация вызвана неправильными действиями пользователя, и активы пользователя по-прежнему в безопасности. Эту ситуацию относительно легко решить. Пользователю необходимо только выполнить требования к мультиподписи во время транзакции или отменить настройку мультиподписи и выполнить транзакцию с отдельной подписью.
Второй тип заключается в утечке закрытого ключа пользователя, что приводит к множеству подписей других лиц.
Самый распространенный сценарий — пользователи загружают поддельные кошельки через фишинговые сайты. Приватные ключи и мнемонические фразы также генерируются, когда пользователи используют поддельное программное обеспечение кошелька.
Однако поддельный кошелек может украсть закрытый ключ/мнемоническую фразу, что означает, что в этот момент контроль над кошельком пользователя теряется, благодаря механизму мультиподписи вор может объединить свой и ваш адрес в мультиподпись; и когда пользователь переводит деньги отдельно. Иногда вы обнаружите, что процесс не может пройти гладко. Поскольку другая сторона имеет ваш закрытый ключ и сотрудничает со своей учетной записью с мультиподписью, она может перевести ваши средства.
Третий тип заключается в том, что другие намеренно сливают закрытый ключ посредством фишинга, что приводит к невозможности получить переведенные средства.
Хотя этот метод является древним, он также является наиболее уязвимой областью для новичков. Мошенники напрямую раскрывают вам закрытые ключи своего кошелька, и в кошельке часто находится значительное количество других активов. Он может солгать, что не знает, как работать, и попросить вас помочь ему управлять кошельком, чтобы перевести определенное количество TRX и перевести такое же количество активов стейблкоинов.
Пользователи могут подумать, что они пользуются преимуществом, импортировать закрытый ключ или мнемоническую фразу другой стороны и перевести TRX в кошелек. В этот момент сработает многознаковая ловушка.
Кошелек, предоставленный мошенником, на самом деле настроен как кошелек с мультиподписью, поэтому даже если вы получите его закрытый ключ в это время, вы не сможете беспрепятственно управлять активами в нем, а переданные вами активы никогда не будут быть возвращено.
 
Источник изображения: TP Wallet
В-четвертых, нажатие на фишинговую ссылку приводит к изменению разрешений.
Эта возможность заключается в том, что пользователь нажимает на фишинговую ссылку, что приводит к изменению разрешений кошелька. Например, мошенники создают веб-сайт для покупки различных карт, купонов или пополнения баланса по низким ценам. Когда пользователи используют предоставленную ими ссылку для пополнения счета, они вызывают вредоносный код эскалации разрешений. После того, как пользователь непосредственно подтвердит и введет пароль для подписи, он будет вызван. приведет к тому, что он / она: Разрешения адреса кошелька изменились.
Реальные случаи, предоставленные TP Wallet, показывают, что когда пользователь нажимает на фишинговую ссылку для перевода денег, кошелек напрямую выдает запрос на информирование пользователя о том, что эта операция представляет собой не простой перевод, а функцию «вызова для обновления разрешений учетной записи». ". Когда пользователь нажимает кнопку подтверждения, это означает авторизацию мошенником нескольких подписей. Когда адрес кошелька пользователя злонамеренно подписан мультиподписью, могут возникнуть проблемы при переводе средств, а также это может позволить другой стороне использовать больше разрешений для перевода средств.
 
Источник изображения: TP Wallet
Для обеспечения безопасности с использованием нескольких подписей в первую очередь требуется безопасность закрытого ключа.
Из приведенных выше четырех распространенных ситуаций с несколькими подписями мы видим, что утечка закрытого ключа пользователя или доверие к фишинговым ссылкам и кошелькам других людей являются прямыми причинами потери активов.
Среди этих видов мошенничества механизм мультиподписей является скорее «накладным» методом и используется мошенниками как средство реализации мошенничества.
Очевидно, это не отправная точка механизма мультиподписи TRON.
Мы можем рассматривать механизм мультиподписи кошелька TRON как более безопасную комбинацию замков против кражи, которая требует разблокировки нескольких замочных скважин для перемещения активов дома. Но у такого рода безопасности есть обязательное условие: пользователи должны сохранять свои первоначальные разрешения. Если все ключи для отпирания замка будут в руках одного человека, то лучший противоугонный замок потеряет свою ценность.
 
Рассматривая текущую проблему мошенничества с кошельками и механизм мультиподписи Tron вместе, нетрудно обнаружить, что в большинстве случаев пользователи совершают непреднамеренные ошибки, и сам механизм мультиподписей не имеет проблем. Проблема больше связана с окружающей средой. Технические возможности пользователей и мошенников в мире шифрования не равны, и на ранних стадиях отрасли не хватало более зрелых технических средств раннего предупреждения, идентификации и противодействия.
Однако в нынешних обстоятельствах, хотя TRON предоставляет механизм мультиподписи на стороне пользователя, может ли он также сделать еще один шаг вперед в области разработки и использовать технологии, чтобы максимально снизить вероятность мошенничества?
Текущий механизм мультиподписи TRON можно использовать только в кошельках TronLink и TokenPocket.
В настоящее время, учитывая, что мультиподпись включает в себя относительно конфиденциальные подписи с закрытым ключом, TRON закрыл сервисы интерфейса, включающие подписи с закрытым ключом, в справочном руководстве API.
Кроме того, кошельки и другие сопутствующие продукты могут оценивать мультиподписи в зависимости от их конкретных потребностей и решать, следует ли отображать соответствующие подсказки пользователям и если да, то как. Поэтому предоставление пользователям механизма мультиподписи TRON не является «обязательной опцией». И когда эта опция станет доступной, это произойдет не в ущерб безопасности и надежности.
Однако максимальная безопасность активов по-прежнему неотделима от повышения осведомленности пользователей о внутренней безопасности. Ожидайте меньше от пирога в небе, будьте более осторожны с ловушками искушений и будьте бдительны к возможному мошенничеству, и безопасность всего мира шифрования будет еще больше улучшена.