TRX:安全警示｜TRX 多重簽名騙局

近期，TRX多重簽名騙局異常猖獗，騙子通過誘導用戶下載假imToken等方式獲取用戶的助記詞，但是卻不直接將用戶的資產盜走，而是通過修改用戶的TRX錢包賬戶權限，導致用戶失去對賬戶內資產的控制權，只能將代幣轉入錢包，卻無法轉出。

本文將揭秘TRX多重簽名騙局具體是如何實施的，以及我們該如何防范這類騙局。

什么是TRX多重簽名騙局

當我們創建了一個TRX錢包后，這個錢包賬戶默認的擁有者權限為賬戶本人，閾值為1，即錢包轉賬需持有一個擁有者權限的地址進行簽名授權才能發起。

微軟安全主管發出號召，要求在建立元宇宙初期就創建保護機制:3月28日消息，微軟公司新任安全主管Charlie Bell發出號召，要求在建立元宇宙初期就創建保護機制，以防止黑客和犯罪分子。Bell在接受采訪時表示，舉例來說，在元宇宙中，黑客可能會制作看起來像是用戶信任的聯系人的頭像來進行攻擊，而用戶將很難抵制。元宇宙的性質提供了減少對內容和用戶集中控制的可能性，但對那些試圖保護客戶的人來說也是一個挑戰。

Bell表示，包括微軟和Meta（前身為Facebook）在內的在元宇宙中運營的公司，在設計其新產品時，要從一開始就將安全和安保納入其中，而不是在問題出現后再加上去。此外，這些軟件公司將需要在身份的互操作性方面進行合作，使用戶可以在多個元宇宙中顯示他們的身份。（彭博社）[2022/3/29 14:23:24]

注：擁有者權限是指一個TRX賬戶的最高權限，具有該權限的地址可進行該賬戶內的所有操作。

V神：跨鏈橋存在“基本安全限制”:金色財經報道，1月8日，以太坊聯合創始人兼核心開發人員 Vitalik Buterin 今天在推特上轉發了一個 Reddit 帖子鏈接，其中他討論了對多鏈未來的信念，但對跨鏈生態系統表示懷疑。Vitalik Buterin認為“跨鏈橋存在基本安全限制”并解釋說，他不同意當區塊鏈遭受 51% 攻擊時所有安全機制都會失敗的想法，51% 攻擊的目標是通過控制超過 50% 的網絡挖礦哈希率或計算能力來操縱在區塊鏈中注冊的交易的完整性。

Vitalik Buterin表示，在 51% 攻擊的情況下，攻擊者不能提出一個帶走某人 ETH 的區塊，因為這樣的區塊會違反共識規則，因此會被網絡拒絕。換句話說，他認為，即使 99% 的算力被用于非法拿走另一個錢包的 ETH，節點也會簡單地遵循剩余 1% 的鏈，因為它是唯一遵循協議規則的區塊集，因此“誠實”的區塊將始終保持狀態的一致性。Vitalik Buterin認為，當用戶將資產從他們的本地區塊鏈連接到非本地區塊鏈時，問題就會出現，他寫道：““如果以太坊受到 51% 的攻擊并恢復，Arbitrum 和 Optimism 也會恢復，因此即使以太坊受到 51% 的攻擊，在 Arbitrum 和 Optimism 上保持狀態的“cross-rollup”應用也可以保證保持一致。如果以太坊沒有受到 51% 攻擊，那么 51% 攻擊就無法分別攻擊 Arbitrum 和 Optimism。”

Vitalik Buterin總結稱，他并不認為這些問題會立即出現，但隨著跨鏈橋中持有的加密貨幣數量的增加，攻擊它們的動機也會增加。[2022/1/8 8:34:18]

而當騙子獲取了用戶助記詞，對其TRX賬戶權限進行修改后，用戶地址的擁有者權限變為用戶本人和騙子共同持有，閾值為2，即錢包轉賬需要兩個擁有者權限的地址——用戶的地址和騙子的地址，共同簽名授權才能發起。

Weiss Ratings創始人：加密貨幣在資金的安全存儲方面比銀行做得好:5月22日，Weiss Ratings創始人Martin D. Weiss在其官網上發布的一篇文章中表示，相比銀行，加密電子貨幣在資金的安全存儲方面做得更好，很難想象這個技術不能改變金融和銀行業游戲規則。[2018/5/24]

由于此時TRX錢包的轉賬需要多重簽名才能完成，所以這類騙局被成為TRX多重簽名騙局。

這就意味著，當用戶的TRX賬戶被騙子更改為需多重簽名的地址后，用戶發起的任何交易，都需要騙子的簽名授權才能完成，如果只是用戶單方面發起交易，就會遇到類似「server：SIGERROR」的報錯。

你可能會疑惑，為什么用戶擁有自己賬戶的助記詞/私鑰，也無法「獨立完成」資產的轉出操作。

以合伙開公司的例子解釋一下，你就明白了。假設有一家公司有兩個合伙人，他們在這家公司成立之初規定：所有的重大決策要兩個合作人都同意進行簽名授權，即多重簽名，才可以執行。若有一方不同意，決策則不通過。

被騙子修改為多重簽名的TRX賬戶就像是這樣一家公司，即便用戶持有錢包助記詞，但也已經無法「獨立完成」對這個錢包的轉賬等重大操作。

用戶只能將資產轉入這個賬戶，卻無法轉出，騙子就是利用這一點從而「放長線釣大魚」，等到用戶在賬戶中積累了足夠的資產后再一次性盜走。如果一個用戶從來都是只收款不轉賬，且不去鏈上查看自己的賬戶權限，那他可能會一直蒙在鼓里并持續地向這個賬戶轉錢。

另外，騙子除了通過誘導用戶下載假imToken方式外，還會通過以下兩類方式利用多重簽名詐騙：

在Telegram等社交平臺推廣充值網站，誘導用戶使用數字資產進行充值，實際上是趁用戶充值時獲取賬戶的擁有者權限，導致用戶失去對賬戶的控制權；在Telegram、微信等社交平臺公開自己的助記詞/私鑰，誘導用戶轉入TRX作為手續費以轉走錢包內的資產，但實際騙子早已將擁有者權限轉移，最終導致用戶損失TRX。安全提醒

imToken安全團隊在此提醒大家

下載imToken請認準官網：https://token.im/天下不會有免費的午餐，切莫貪小便宜定期檢查TRX錢包賬戶權限如何查詢賬戶權限

1.打開TRX錢包，切換至「瀏覽」頁面輸入TRONSCAN并打開。

2.在輸入框輸入錢包地址并搜索，跳至賬戶信息頁面并下滑至「賬戶權限」板塊。

3.如圖所示，如果有且只有你的地址持有擁有者權限，說明你的賬戶權限是安全的。

Tags：TRX元宇宙TOKERINSTRX價格元宇宙APPqubitokenRING

TRX