安全警示|TRX 多重签名骗局

安全警示|TRX 多重签名骗局 近期,TRX 多重签名骗局异常猖獗,骗子通过诱导用户下载假钱包等方式获取用户的助记词,但是却不直接将用户的代币盗走,而是通过修改用户的 TRX 钱包账户权限,导致用户失去对账户内代币的控制权,只能将代币转入钱包,却无法转出。 本文将揭秘 TRX 多重签名骗局具体是如何实施的,以及我们该如何防范这类骗局。 什么是 TRX 多重签名骗局 当我们创建了一个 TRX 钱包后,这个钱包账户默认的拥有者权限为账户本人,阈值为 1,即钱包转账需持有一个拥有者权限的地址进行签名授权才能发起。 注:拥有者权限是指一个 TRX 账户的最高权限,具有该权限的地址可进行该账户内的所有操作。 而当骗子获取了用户助记词,对其 TRX 账户权限进行修改后,用户地址的拥有者权限变为用户本人和骗子共同持有,阈值为 2,即钱包转账需要两个拥有者权限的地址用户的地址和骗子的地址,共同签名授权才能发起。 由于此时 TRX 钱包的转账需要多重签名(用户地址的签名和骗子地址的签名)才能完成,所以这类骗局被称为 TRX 多重签名骗局。 这就意味着,当用户的 TRX 账户被骗子更改为需多重签名的地址后,用户发起的任何交易,都需要骗子的签名授权才能完成,如果只是用户单方面发起交易,就会遇到类似「server:SIGERROR」的报错。 你可能会疑惑,为什么用户拥有自己账户的助记词 / 私钥,也无法「独立完成」代币的转出操作。 以合伙开公司的例子解释一下,你就明白了。假设有一家公司有两个合伙人,他们在这家公司成立之初规定:所有的重大决策要两个合作人都同意进行签名授权,即多重签名,才可以执行。若有一方不同意,决策则不通过。 被骗子修改为多重签名的 TRX 账户就像是这样一家公司,即便用户持有钱包助记词,但也已经无法「独立完成」对这个钱包的转账等重大操作。 用户只能将代币转入这个账户,却无法转出,骗子就是利用这一点从而「放长线钓大鱼」,等到用户在账户中积累了足够的代币后再一次性盗走。如果一个用户从来都是只收款不转账,且不去链上查看自己的账户权限,那他可能会一直蒙在鼓里并持续地向这个账户转钱。 另外,骗子除了通过诱导用户下载假钱包方式外,还会通过以下两类方式利用多重签名诈骗: 在 Telegram 等社交平台推广充值网站,诱导用户使用数字代币进行充值,实际上是趁用户充值时获取账户的拥有者权限,导致用户失去对账户的控制权; 在 Telegram、微信等社交平台公开自己的助记词 / 私钥,诱导用户转入 TRX 作为手续费以转走钱包内的代币,但实际骗子早已将拥有者权限转移,最终导致用户损失 TRX。 不要相信天下不会有免费的午餐,切莫贪小便宜 消息来源:

相关推荐

封面图片

【ConstitutionDAO永久放弃多重签名的访问权限】

【ConstitutionDAO永久放弃多重签名的访问权限】 12月15日,去中心化自治组织ConstitutionDAO宣布将永久放弃ConstitutionDAO所有权。 ConstitutionDAO多重签名将执行Juicebox智能合约的“放弃所有权”(renounceOwnership),从而永久销毁多重签名的访问权限。在放弃所有权后,ConstitutionDAO核心团队和多重签名者将不能再以任何方式对合约拥有任何权力或控制权。这意味着Juicebox中的资金和代币将无限期地保留在那里,永远无法被操纵。 ConstitutionDAO将在美国东部标准时间2021年12月17日星期五20时至12月20日期间“放弃所有权”。并将于美国东部时间2021年12月21日20时之前关闭Discord服务器。后续将针对本次事件发出正式公告。
封面图片

【安全团队:谨防多重签名假充值】

【安全团队:谨防多重签名假充值】 据慢雾区情报,近期有黑客团伙利用 m-of-n 多重签名机制对交易所进行假充值攻击。 慢雾安全团队分析发现,攻击者通常使用 2-of-3 多签地址,其中 1 个地址为攻击者在交易所的充值地址(假设为 A),2 个地址为攻击者控制私钥的地址(假设为 B、C),然后发起一笔以这 3 个地址构成的多签做为交易输出(vout)的交易,此时攻击者在交易所的充值地址 A 虽然收到资金,但是由于花费这笔资金至少需要 2 个地址的签名,攻击者可利用自己控制的 B、C 地址将充值资金转出。 慢雾安全团队建议交易所,及时对 BTC/LTC/DOGE 等基于 UTXO 账号模型的代币充值流程进行审查,确保已对交易类型进行正确的判别,谨防多重签名假充值。
封面图片

【Revoke.cash推出签名仪表板,支持查看并取消已有签名】

【Revoke.cash推出签名仪表板,支持查看并取消已有签名】 5月9日消息,代币权限查询工具Revoke.cash新增签名仪表板,为用户提供了已有签名的查看服务,如用户发现与钓鱼网站进行了交互,但没有资金被盗,便可及时取消这些签名。
封面图片

【Bitrace协助山西警方成功打击盗币团伙,用户应选择官方渠道下载钱包并警惕新型多重签名盗币手法】

【Bitrace协助山西警方成功打击盗币团伙,用户应选择官方渠道下载钱包并警惕新型多重签名盗币手法】 4月2日消息,区块链数据分析公司币追 Bitrace 协助山西警方成功打击了一个制造并分销假钱包的团伙。该团伙长期以来一直通过 Telegram、微信群等方式分发假钱包 APK 安装包,并在搜索引擎上购买广告服务,仿冒 TokenPocket 官方网站,诱导受害者下载并安装假钱包后盗取加密资产。目前,该案件正在进一步调查和审理中。 Bitrace 提醒,用户务必从正规的应用商店或官方网站下载钱包,切勿安装通过 Telegram 或微信群发送的 APK 安装包,或从搜索引擎下载的钱包,以免加密资产被盗取。此外近期有大量受害者遭遇新型多重签名手法盗币,用户需谨慎此类新型骗局。
封面图片

【PEPE:3名前团队成员登录多签地址盗取了16万亿PEPE】

【PEPE:3名前团队成员登录多签地址盗取了16万亿PEPE】 PEPE在其官方社交媒体上向PEPE社区发布公告称, 昨天(2023年8月24日),PEPE多重身份CEX钱包发生了一系列意想不到的交易。钱包中的约 16 万亿 PEPE 代币(价值约 1500 万美元)被转移到不同的加密货币交易所(OKX、Binance、Kucoin 和 Bybit),所需签名者数量减少到 2/8 个钱包。现在,多重签名钱包中还剩下 10 万亿代币和一个签名者,我可以向你们保证,这些代币和这个 twitter 账户都在安全的掌控之中。我想解释一下发生的一切,并向 PEPE 社区提供尽可能多的透明度。 自成立以来,PEPE 一直饱受内部纷争的困扰,团队中的一部分人因自负和贪婪而成为不良行为者。现在,PEPE 已经完全摆脱了这些包袱,前路一片光明。由于无法签名、意见分歧以及连续数周无法联系,他们阻碍了团队使用多重签名代币进行捐赠或购买的进程。多重签名的设置要求 3/4 的签名者在场才能获得批准。 昨天,这 3 名前团队成员背着我回来了,他们登录了多签地址,盗取了 26 万亿多签地址中的 16 万亿,并将它们发送到交易所出售。然后,他们将自己从多重身份中删除,试图撇清与 PEPE 的任何关联,删除了他们所有的社交账户,只给我留下了一条信息,上面写着,多重身份已更新,您现在可以完全控制。 目前看来,昨天从多重签名中被盗的大部分/所有代币都已在 OKX 和 Binance 上迅速售出。多组服务器中剩余的 10 万亿代币将从旧的多组服务器中转移到一个新的钱包中,在那里它们将安全地等待使用或烧毁。我一直在与一些网站域名和用户名的所有者进行谈判,我正在考虑用 PEPE 收购这些域名和用户名,当我完成这些潜在的购买或从多重组别中捐赠 PEPE 时,我将烧毁这些多重组别代币的剩余部分。 金色财经此前报道,8月25日凌晨,PEPE团队多签地址将1508万美元的PEPE代币转入DEX,并将多签钱包阈值从5/8改为2/8。 快讯/广告 联系 @xingkong888885
封面图片

【Blast:计划在一周内将其多重签名地址之一切换到不同的硬件钱包提供商】

【Blast:计划在一周内将其多重签名地址之一切换到不同的硬件钱包提供商】 Blast在社交媒体上发文表示,安全是多方面的,涉及智能合约、浏览器和物理安全维度。不可变的智能合约通常被认为更安全,但可能会带来更大的风险,尤其是在复杂的协议中。可升级合约重要,尽管存在潜在漏洞,但可升级合约提供了针对漏洞的解决方法。多重签名设置中的每个签名密钥都是独立安全的,存储在冷存储中,由独立方管理,并且在地理位置上分散,这种方法旨在增强协议抵御各种安全威胁的能力,计划在一周内将其多重签名地址之一切换到不同的硬件钱包提供商,以增强安全性,此举旨在防止对单一类型硬件钱包的依赖,从而降低因特定硬件漏洞而受到损害的风险。 快讯/广告 联系 @xingkong888885

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人