詐騙者透過誘騙受害者授予聯合署名人存取權限或完全所有權來利用多重簽名錢包,將安全功能轉變為弱點。
常見的詐騙手法包括助記詞陷阱,誘使受害者將資金轉入詐騙者控制的錢包,以及透過將詐騙者新增為共同所有人或所有人而鎖定受害者的權限接管。
保護自己;切勿匯入他人提供的助記詞;切勿分享您的助記詞;始終在簽署之前審核交易;仔細驗證網站;並定期檢查您的錢包權限。
「更多的簽名代表更高的安全性。」但如果其中一個簽名現在屬於詐騙者呢?
多重簽名 (MultiSig) 功能旨在透過要求多個私鑰簽名來核准交易,以強化加密貨幣的安全性。控制權採分散式管理,而無單點故障問題。因此,即使其中一個密鑰遭到入侵洩露,駭客也無法在沒有其他密鑰的情況下移動資金。
然而,這層額外的保護最近在 TRON 上卻變成了雙面刃。詐騙者開始利用網路的靈活權限系統,精準操控可存取和管理其帳戶的對象。在本部落格中,我們將分析多重簽名如何從盾牌變為武器,以及 TRON 用戶需要注意的事項。
TRON 帳戶採用一套權限系統,允許用戶對不同密鑰可執行的操作權限進行精細控制。對用戶而言,下列兩種權限最為相關:
所有人權限:控制修改帳戶權限或轉移所有權等高階操作。
啟用中權限:管理資金轉移或與智能合約互動等常規操作。
若要在 TRON 網路中執行任何交易,必須由具有相應權限並符合該特定操作所需門檻的私鑰或多重簽名設定中的密鑰組合進行簽名。
在典型的多重簽名詐騙中,攻擊者會想方設法成為所需簽名者之一,可能是透過誘騙受害者授予其存取權限,或是利用智能合約漏洞或平台特定權限。在 TRON 網路上,這種詐騙手法有兩種形式。
此類詐騙會在 YouTube 和 X 等多個平台上散播助記詞或私鑰,試圖誘騙毫無戒心的用戶與之互動。
詐騙佈局:詐騙者聲稱不確定如何從錢包中轉移資金。他們公開分享助記詞,請求他人匯入並協助移動資金,有時甚至承諾獎勵。
誘餌: 錢包似乎存有大量代幣或 USDT,誘使受害者迅速轉出資金。
陷阱: 雖然錢包中持有大量代幣,但缺乏支付交易手續費所需的原生代幣 TRX。受害者急於移動資金,經常會發送自己的 TRX 來支付這些手續費。
真相揭露: 一旦受害者為錢包儲值 TRX,便會發現無法完成任何交易,因為該錢包實際上由詐騙者控制。詐騙者隨後轉走受害者發送的 TRX,導致用戶損失。
由於該錢包設有多重簽名設置需要多個簽名,而受害者並未擁有這些簽名權限,因此,發送少量 TRX 以支付交易手續費的用戶最終無法移動任何資金。詐騙者在社群媒體公開散佈這些助記詞錢包,希望大量用戶自行上鉤並發送 TRX,而無需進行任何直接聯繫。隨著時間推移,詐騙者被動地收集大量的 TRX,同時保有對資金的完全控制權。
並非所有的多重簽名詐騙皆是簡單的誘餌等待陷阱。有些騙局更加複雜和陰險,旨在誘騙您將詐騙者新增為您錢包的共同所有人或聯合署名人。一旦他們獲得此立足點,即可鎖定您的資金,或在特定情況下,完全控制您的錢包並將其完全掏空。
詐騙佈局: 詐騙者透過假冒交易所客服或在社群媒體推廣虛假的空投機會將用戶引導用戶至惡意網站。
誘餌:您會被告知可領取空投或連接錢包以參與促銷活動。目標是什麼?讓您簽署一筆看似無害的交易。
陷阱:這筆交易暗藏玄機。您並非在領取獎勵,而是不知情核准了帳戶權限更新。細節以混淆術語包裝,或者藏在模糊的「核准」按鈕背後。
真相揭露:一旦交易簽署,您的錢包權限將被變更。在特定情況下,完整的所有人權限會轉移給詐騙者。在其他情況下,詐騙者將自己新增為聯合署名人,使自己成為所有未來交易中必不可少的參與者。
由於錢包現在需要多重簽名才能移動任何資金,而這些簽名已不再由您控制,您實際上已被鎖定在外。
請注意: 在 Solana 上也觀察到類似手法。詐騙者會誘騙用戶簽署交易,轉移對代幣帳戶的權限或授予廣泛的執行權限,導致相同的結果:失去控制權。
保護您的助記詞:助記詞是您錢包的主密鑰。切勿與任何人分享,並切勿匯入他人提供的私鑰或助記詞,無論出於何種原因。
簽署前請暫停並思考:務必仔細檢查您即將核准的內容。無論是交易或訊息,請花點時間了解您正在簽署的內容。
驗證網站網址: 注意拼寫錯誤、奇怪字體或異常版面設計等微妙風險警告。這些可能表明該網站是旨在模仿真實平台的釣魚網站。
檢查錢包權限:使用區塊鏈瀏覽器 (例如 tronscan.org) 來檢查任何錢包的權限設定:
將錢包地址貼上至搜尋欄。
在錢包的帳戶頁面上,尋找任何顯示變更的權限提示。
點擊頁面上的 [查看帳戶權限] 按鈕或 [帳戶權限] 區段,查看控制該錢包的人員及其存取級別的完整詳細資訊。
保持警惕並持續關注:在 Web3 中,您的最佳防禦不僅是高強度密碼,更是關注最新消息。從助記詞陷阱到帳戶權限接管,詐騙者正利用 TRON 上的多重簽名等功能,變換手法來進行詐騙。別讓他們趁虛而入。關注幣安學院、我們的了解詐騙系列,以及安全性部落格等值得信賴的資源,即可掌握不斷演變的詐騙手法。您了解得越多,就越難被騙。知識並非選項,而是盔甲。
多重簽名錢包專為安全而設計,但若落入壞人手中,也可能變成對付您的利器。好消息是,您不需要成為技術專家就能保持安全:只需保持警覺並質疑一切。切勿分享您的助記詞、匯入陌生人的密鑰或盲目簽署交易。養成定期檢查錢包權限的習慣,而最重要的是,不斷學習 – 因為在 Web3 中,知識不僅是力量,更是您最強大的保護層!
