近期,TRX多重签名局异常猖獗,子通过诱导用户下载假imToken等方式获取用户的助记词,但是却不直接将用户的资产盗走,而是通过修改用户的TRX钱包账户权限,导致用户失去对账户内资产的控制权,只能将代币转入钱包,却无法转出。
本文将揭秘TRX多重签名局具体是如何实施的,以及我们该如何防范这类局。
什么是TRX多重签名局
当我们创建了一个TRX钱包后,这个钱包账户默认的拥有者权限为账户本人,阈值为1,即钱包转账需持有一个拥有者权限的地址进行签名授权才能发起。
Telegram疑似存在隐私安全风险,工作人员可完整访问用户数据:6月14日消息,据开发者 Netkas 提供的信息,多个自称是 Telegram 员工的人他们可以主动使用 TAbuse 工具访问用户的信息,这让他们可以接管普通用户的用户名,将它们转换为NFTs,并通过这种方式从 TON 中获利。但是这仅仅是多个事件中的其中一个,因为有多起事件证明用户的私人数据对 Telegram 员工完全开放。在一些情况下,这些工作人员甚至可以申请 EISID,完整访问用户全部聊天和其余所有数据
据悉,EISID 为 Telegram 的特殊通行证它基本上是一个专为 GDPR 设计的特殊“通行证”,当需要访问电报上的信息进行调查时,他们可以从直接聊天,公开聊天甚至私人聊天中提取信息,并将所述信息的完整结构交给他们。[2023/6/15 21:37:21]
注:拥有者权限是指一个TRX账户的最高权限,具有该权限的地址可进行该账户内的所有操作。
区块链安全公司Hexens完成420万美元种子轮融资:10月11日消息,区块链安全公司Hexens宣布完成420万美元种子轮融资,IOSG Ventures领投,Delta Blockchain Fund、ChapterOne VC、Hash Capital、ImToken Ventures、Tenzor Capital,以及一批来自Polygon和其他区块链项目的天使投资人参投。
据悉,Hexens于2021年成立,其正在构建的产品有可能成为区块链领域每个开发人员和安全研究人员的标准工具包,提升基础设施审计、零知识证明/新型密码学、DeFi、NFT等领域安全并推动Web3大规模采用。(Cryptonews)[2022/10/11 10:31:14]
而当子获取了用户助记词,对其TRX账户权限进行修改后,用户地址的拥有者权限变为用户本人和子共同持有,阈值为2,即钱包转账需要两个拥有者权限的地址——用户的地址和子的地址,共同签名授权才能发起。
美国国会研究服务部安全政策分析师:区块链技术在供应链,投票系统及健康记录方面有优势:在今天美国众议院科学、空间和技术委员会召开的技术咨询委员会上,作为第一名证人,国会研究服务部政府和财务部网络安全政策分析师Chris A. Jaikaran的观点如下,他认为寻找不可拒绝的,可追溯的分类账时,区块链的优势就显现出来了。对于一些更加敏感的供应链问题,区块链的应用可能需要经过允许并且是隐秘的,这意味着不是每个人都可以访问该区块链,即使是可以访问的人也不能访问全部的区块链。在基于区块链的投票系统上Jaikaran表示,区块链不会记录投票结果,它会记录投票人,他的身份及其投票过程,该投票本身存储在另一个安全系统中。同时,Jaikaran还认为区块链技术在健康记录存储方面的应用有潜力,是否能够解决这个问题取决于具体应用。最后,在众议员Ralph Abraham询问委员会将如何支持区块链研究时,Jaikaran表示,目前区块链可用项目的范围非常广泛,随着继续的调查,将确定什么将是最适合政府使用的。[2018/2/15]
由于此时TRX钱包的转账需要多重签名才能完成,所以这类局被成为TRX多重签名局。
这就意味着,当用户的TRX账户被子更改为需多重签名的地址后,用户发起的任何交易,都需要子的签名授权才能完成,如果只是用户单方面发起交易,就会遇到类似「server:SIGERROR」的报错。
你可能会疑惑,为什么用户拥有自己账户的助记词/私钥,也无法「独立完成」资产的转出操作。
以合伙开公司的例子解释一下,你就明白了。假设有一家公司有两个合伙人,他们在这家公司成立之初规定:所有的重大决策要两个合作人都同意进行签名授权,即多重签名,才可以执行。若有一方不同意,决策则不通过。
被子修改为多重签名的TRX账户就像是这样一家公司,即便用户持有钱包助记词,但也已经无法「独立完成」对这个钱包的转账等重大操作。
用户只能将资产转入这个账户,却无法转出,子就是利用这一点从而「放长线钓大鱼」,等到用户在账户中积累了足够的资产后再一次性盗走。如果一个用户从来都是只收款不转账,且不去链上查看自己的账户权限,那他可能会一直蒙在鼓里并持续地向这个账户转钱。
另外,子除了通过诱导用户下载假imToken方式外,还会通过以下两类方式利用多重签名:
在Telegram等社交平台推广充值网站,诱导用户使用数字资产进行充值,实际上是趁用户充值时获取账户的拥有者权限,导致用户失去对账户的控制权;在Telegram、微信等社交平台公开自己的助记词/私钥,诱导用户转入TRX作为手续费以转走钱包内的资产,但实际子早已将拥有者权限转移,最终导致用户损失TRX。安全提醒
imToken安全团队在此提醒大家
下载imToken请认准官网:https://token.im/天下不会有免费的午餐,切莫贪小便宜定期检查TRX钱包账户权限如何查询账户权限
1.打开TRX钱包,切换至「浏览」页面输入TRONSCAN并打开。
2.在输入框输入钱包地址并搜索,跳至账户信息页面并下滑至「账户权限」板块。
3.如图所示,如果有且只有你的地址持有拥有者权限,说明你的账户权限是安全的。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。