骗子利用多重签名的方式是通过欺骗受害者授予共同签名者访问权限或完全所有权,将安全功能变成弱点。
常见的诈骗手段包括助记词陷阱,即诱使受害者向骗子控制的钱包注入资金,以及通过将骗子添加为共同所有者或所有者来将受害者锁定在权限接管中。
用户保护自己的方式包括:绝不导入他人提供的助记词、绝不分享助记词、始终在签名前检查交易、仔细验证网站真实性以及定期检查钱包权限。
“签名越多,安全性越高。”但如果其中一个签名者是骗子该怎么办?
多重签名 (MultiSig) 功能旨在通过要求多个私钥签名来批准交易,从而增强加密安全性。控制权实现了分布式管理,而非集中于单一故障点,即使某个密钥被泄露,黑客也无法在没有其他密钥的情况下转移资金。
然而,这一层额外防护近日在 TRON 上变成了一把双刃剑。骗子利用网络灵活的权限系统,该系统允许用户精细控制可以访问和管理其账户的人员。在这篇博客中,我们将分析多重签名如何从盾牌变成武器,以及 TRON 用户需要注意的事项。
TRON 账户采用了权限系统,该系统支持对不同密钥可执行的操作进行细粒度控制。针对我们的目的,两个关键权限类型息息相关:
所有者权限:控制高级操作,如修改账户权限或转移所有权。
主动权限:管理常规操作,例如资金转账或与智能合约互动。
如要执行,TRON 网络上的任何交易都必须由具有适当权限并满足该特定操作所需阈值的私钥或多重签名设置中的密钥组合进行签名。
在典型的多重签名骗局中,攻击者会通过以下方式成为必要签名者之一:欺骗受害者授予他们访问权限,或利用智能合约漏洞,亦或是特定平台的权限设置。在 TRON 网络上,这种诈骗手段有两种形式。
此类骗局在多个平台(如 YouTube 和 X)上散布助记词或私钥,试图诱使毫无戒心的用户与之互动。
设置:骗子声称他们不确定如何将资金从钱包中转出。他们公开分享助记词,要求其他人导入并帮助转移资金,有时甚至会承诺给与奖励。
诱饵:钱包里似乎装有大量的代币或 USDT,企图诱使受害者快速转出资金。
陷阱:虽然钱包中有大量代币,但没有足够的 TRX,即支付交易手续费所需的原生代币。受害者急于转移资金,通常会发送自己的 TRX 来支付这些手续费。
实际情况:由于该钱包由骗子控制,受害者使用 TRX 为钱包充值后,发现他们无法完成任何交易。骗子随后转走了受害者发送的 TRX,导致用户遭受损失。
由于钱包的多重签名设置需要多个签名(受害者没有这些签名),即便用户发送少量 TRX 来支付交易费用,最终也无法转移任何资金。骗子在社交媒体上公开植入这些种子钱包,希望更多人上钩并在没有任何直接联系的情况下发送 TRX。一段时间后,骗子被动地收集大量 TRX,同时保持完全控制权。
并非所有的多重签名骗局都是简单的诱饵和等待陷阱。有些诈骗手段更加复杂和阴险,目的是诱骗您将骗子添加为钱包的共同拥有者或共同签名者。一旦骗子获得了这个立足点,便可以锁定您的资金,或者在某些情况下,完全控制您的钱包并将其全部榨干。
设置:骗子会通过假冒交易平台的客服人员或利用社交媒体推广虚假的空投机会,诱导用户访问恶意网站。
诱饵:您会被告知领取空投,或连接您的钱包以参与促销活动。这样做的目的是什么?让您签署一个看似无害的交易。
陷阱:交易并不像看上去的那样。您不是在领取奖励,而是在不知情的情况下批准账户权限更新。相关细节被令人费解的行话所掩盖,或隐藏在一个模糊的“批准”按钮背后。
实际情况:一旦签署交易,您的钱包权限将被更改。在某些情况下,全部所有者权限都被转移给了骗子。在其他情况下,骗子将自己添加为共同签名者,从而锁定自己为所有未来交易的必要参与者。
现在,钱包需要多个签名才能转移资金,您不再控制这些签名,实际上您已经被锁定在外。
注意:在 Solana 上也发现了类似的骗术在该平台,骗子诱使用户签署交易,转移代币账户的权限或授予用户广泛的执行权,最终导致相同的结果,即失去对账户的控制。
保护您的助记词:助记词是钱包的万能钥匙。切勿与任何人分享助记词,也切勿导入他人提供的私钥或助记词,无论出于何种原因。
在签署之前先暂停一下想一想:务必仔细检查要批准的内容。无论是交易还是消息,请花一点时间了解所签署的内容。
验证网站 URL:注意拼写错误、奇怪的字体或异常布局等细微的危险信号。这些信号可以表明网络钓鱼网站想要模仿真实平台。
检查您的钱包权限:使用 tronscan.org 等链上浏览器来检查钱包的权限设置:
将钱包地址粘贴到搜索栏中。
在钱包的账户页面,留意任何显示权限变更的突出提示。
点击页面上的【查看账户权限】按钮或【账户权限】部分,以查看控制钱包的人员及其访问级别的完整详情。
保持警惕并了解相关信息:在 Web3 中,最好的防御措施不仅仅是设置一个强密码,而是始终了解相关信息。从助记词陷阱到账户权限接管,骗子正在以创造性的方式利用 TRON 上的多重签名等功能。别让他们趁您疏忽时得逞。通过关注可信的资源,例如币安学院、币安了解骗局系列以及安全博客等,持续了解不断演变的诈骗手段。了解得越多,就越难被愚弄。知识不是可有可无的选择,而是保护自己的盔甲。
多重签名钱包专为安全而构建,但如果落入坏人之手,它就可能成为对付您的武器。好的一面是,您无需成为技术专家也能保证自身安全,只需保持警觉并对一切提出质疑即可。切勿分享助记词,导入陌生人的密钥,或盲目签署交易。养成定期检查钱包权限的习惯,最重要的是,要持续学习。因为在 Web3 中,知识不仅仅是力量,更是最强大的防护层!
