近期,TRX多重签名局异常猖獗,子通过诱导用户下载假imToken等方式获取用户的助记词,但是却不直接将用户的资产盗走,而是通过修改用户的TRX钱包账户权限,导致用户失去对账户内资产的控制权,只能将代币转入钱包,却无法转出。
本文将揭秘TRX多重签名局具体是如何实施的,以及我们该如何防范这类局。
什么是TRX多重签名局
当我们创建了一个TRX钱包后,这个钱包账户默认的拥有者权限为账户本人,阈值为1,即钱包转账需持有一个拥有者权限的地址进行签名授权才能发起。
声音 | 美国SEC专员:“安全港”提案是为了给合法项目提供安全前进道路:美国SEC专员、有着“加密妈妈”之称的Hester Peirce于CoinDesk发文解释了其“安全港”(即为合法加密项目提供三年安全发展时间)提案。Peirce解释了该提案最引人担忧的两个方面。第一个担忧是该提议将重新点燃类似2017年的ICO热潮。Peirce称,“安全港”的目的是为合法项目提供一条安全的前进道路,并使项目更难吸引资金。“安全港”要求披露项目和开发团队的具体信息,保留美国SEC对“安全港”代币销售的反欺诈权力,并将不良行为者排除在外。第二个担忧是,代币在三年后是否构成证券缺乏一个明确的测试标准。Peirce解释称,为了避免在安全期限结束后被定义为证券,网络必须足够去中心化,这意味着它不会受任何个体、团体或共同控制下的实体的控制及更改。或者,该网络可以是功能性的,这意味着代币持有者能以与网络效用一致的方式使用代币。(CoinDesk)[2020/2/19]
注:拥有者权限是指一个TRX账户的最高权限,具有该权限的地址可进行该账户内的所有操作。
声音 | 全国政协委员王茜:区块链协同计算技术可解决数据安全问题:全国政协委员王茜表示,现在区块链协同计算技术已经可以解决数据安全问题了。政府应下决心突破屏障,建立囊括多元主体的数据开放机制。[2019/1/12]
而当子获取了用户助记词,对其TRX账户权限进行修改后,用户地址的拥有者权限变为用户本人和子共同持有,阈值为2,即钱包转账需要两个拥有者权限的地址——用户的地址和子的地址,共同签名授权才能发起。
由于此时TRX钱包的转账需要多重签名才能完成,所以这类局被成为TRX多重签名局。
动态 | 以太坊dApp浏览器采取措施提高钱包安全性:据CCN报道,为了保护隐私,以太坊dApp浏览器MetaMask将在11月2日停止向用户浏览器注入Web3实例。更新对访问用户麦克风或摄像头请求的审批模式,用户可以拒绝非法网站的访问。钓鱼网站将无法在用户不知情的情况下获取其隐私信息。[2018/8/27]
这就意味着,当用户的TRX账户被子更改为需多重签名的地址后,用户发起的任何交易,都需要子的签名授权才能完成,如果只是用户单方面发起交易,就会遇到类似「server:SIGERROR」的报错。
你可能会疑惑,为什么用户拥有自己账户的助记词/私钥,也无法「独立完成」资产的转出操作。
以合伙开公司的例子解释一下,你就明白了。假设有一家公司有两个合伙人,他们在这家公司成立之初规定:所有的重大决策要两个合作人都同意进行签名授权,即多重签名,才可以执行。若有一方不同意,决策则不通过。
被子修改为多重签名的TRX账户就像是这样一家公司,即便用户持有钱包助记词,但也已经无法「独立完成」对这个钱包的转账等重大操作。
用户只能将资产转入这个账户,却无法转出,子就是利用这一点从而「放长线钓大鱼」,等到用户在账户中积累了足够的资产后再一次性盗走。如果一个用户从来都是只收款不转账,且不去链上查看自己的账户权限,那他可能会一直蒙在鼓里并持续地向这个账户转钱。
另外,子除了通过诱导用户下载假imToken方式外,还会通过以下两类方式利用多重签名:
在Telegram等社交平台推广充值网站,诱导用户使用数字资产进行充值,实际上是趁用户充值时获取账户的拥有者权限,导致用户失去对账户的控制权;在Telegram、微信等社交平台公开自己的助记词/私钥,诱导用户转入TRX作为手续费以转走钱包内的资产,但实际子早已将拥有者权限转移,最终导致用户损失TRX。安全提醒
imToken安全团队在此提醒大家
下载imToken请认准官网:https://token.im/天下不会有免费的午餐,切莫贪小便宜定期检查TRX钱包账户权限如何查询账户权限
1.打开TRX钱包,切换至「浏览」页面输入TRONSCAN并打开。
2.在输入框输入钱包地址并搜索,跳至账户信息页面并下滑至「账户权限」板块。
3.如图所示,如果有且只有你的地址持有拥有者权限,说明你的账户权限是安全的。
标签:TRXTOKTOKENKENtronlink钱包怎么找到TRXCompound Basic Attention TokenMyTV TokenTBCC Token
Wearehonoredtointroduceour13thprojectonKuCoinFractionalNFTs-hiGAZERS.
1900/1/1 0:00:00莱特币击败其他顶级加密货币,在过去24小时内获得最大涨幅考虑到流通量不佳和可能的抛售,最近的反弹不太可能持续莱特币在过去24小时内在市场排名前20位的加密货币中创下了最高涨幅.
1900/1/1 0:00:00比特币今日再度跌破1.6万美元,K工继续大量抛售比特币。在比特币下挫之际,币安执行长赵长鹏在推特上喊话「比特币没有死,我们还在这里」.
1900/1/1 0:00:00加密货币借贷机构Genesis或存在偿付能力问题,近期市场更有传闻甚嚣尘上称为了填补窟窿,母公司DCG可能选择解散旗下另一家公司Grayscale所发行的GBTC.
1900/1/1 0:00:00在这项研究中,我分析了40个足球迷代币的价格表现,以及哪些因素对其成功最重要。一如既往,请记住这不是一项学术研究。 什么是足球迷代币? 足球迷代币是为代币持有者提供特定利益的实用代币.
1900/1/1 0:00:00关于比特币和GBTC的谣言越来越多:发生了什么事?比特币在两年来最低的每周收盘价之后开始新的一周,并继续表现与2020年11月一样.
1900/1/1 0:00:00