【余弦：Blast关于多签安全问题的解释太搞笑了，还不如承认客观事实】

【余弦：Blast关于多签安全问题的解释太搞笑了，还不如承认客观事实】 针对Blast关于多签安全问题的解释，慢雾创始人余弦在X平台评论道：“没见过这么搞笑的安全解释，一个只有智能合约的未来L2与那些真的L2对比多签安全模型……本来许多安全人员（包括我）提了Blast权限过大风险，也就是提提，让玩家们有个数就行。客观事实，认就行，非得出一篇这么搞笑的安全解释。” 此前余弦表示，Blast的合约确实如Polygon Labs开发者关系工程师Jarrod Watts所说，是一个可升级合约，控制权属于一个3/5多签（不知道5个人分别是谁）且没有时间锁。如果要跑路，要么多签升级个恶意的逻辑合约，要么enableTransition设置个恶意的mainnetBridge。Blast目前除了发在以太坊上的合约，其他均为中心化Web2项目的裂变玩法，但有若干知名机构背书。用户还是比较相信机构背书的项目的。 今日早些时候消息，Blast在X平台发文表示，安全是多方面的，涉及智能合约、浏览器和物理安全维度。不可变的智能合约通常被认为更安全，但可能会带来更大的风险，尤其是在复杂的协议中。当涉及可升级的智能合约时，具体的升级机制非常重要。具有时间锁的可升级智能合约可能存在漏洞。在很多情况下，避免漏洞被利用的唯一方法是在恶意行为者之前执行链上操作。在这些情况下，时间锁会使智能合约的安全性降低。这就是为什么每个L2都有直接升级的途径。 此外，Blast强调了多重签名安全性的有效性，Arbitrum、Optimism和Polygon等其他L2项目也使用多重签名机制。Blast指出，多重签名设置中的每个签名密钥都是独立安全的，存储在冷钱包中，由独立方管理，并且在地理位置上分散，这种方法旨在增强协议抵御各种安全威胁的能力。 Blast计划在一周内更新其中一个多重签名地址，将其切换到另一家硬件钱包提供商，以增强安全性。此举旨在防止对单一类型硬件钱包的依赖，从而降低因特定硬件漏洞而受到损害的风险。 快讯/广告 联系 @xingkong888885

安全警示｜TRX 多重签名骗局

安全警示｜TRX 多重签名骗局 近期，TRX 多重签名骗局异常猖獗，骗子通过诱导用户下载假钱包等方式获取用户的助记词，但是却不直接将用户的代币盗走，而是通过修改用户的 TRX 钱包账户权限，导致用户失去对账户内代币的控制权，只能将代币转入钱包，却无法转出。 本文将揭秘 TRX 多重签名骗局具体是如何实施的，以及我们该如何防范这类骗局。 什么是 TRX 多重签名骗局 当我们创建了一个 TRX 钱包后，这个钱包账户默认的拥有者权限为账户本人，阈值为 1，即钱包转账需持有一个拥有者权限的地址进行签名授权才能发起。 注：拥有者权限是指一个 TRX 账户的最高权限，具有该权限的地址可进行该账户内的所有操作。 而当骗子获取了用户助记词，对其 TRX 账户权限进行修改后，用户地址的拥有者权限变为用户本人和骗子共同持有，阈值为 2，即钱包转账需要两个拥有者权限的地址用户的地址和骗子的地址，共同签名授权才能发起。 由于此时 TRX 钱包的转账需要多重签名（用户地址的签名和骗子地址的签名）才能完成，所以这类骗局被称为 TRX 多重签名骗局。 这就意味着，当用户的 TRX 账户被骗子更改为需多重签名的地址后，用户发起的任何交易，都需要骗子的签名授权才能完成，如果只是用户单方面发起交易，就会遇到类似「server：SIGERROR」的报错。 你可能会疑惑，为什么用户拥有自己账户的助记词 / 私钥，也无法「独立完成」代币的转出操作。 以合伙开公司的例子解释一下，你就明白了。假设有一家公司有两个合伙人，他们在这家公司成立之初规定：所有的重大决策要两个合作人都同意进行签名授权，即多重签名，才可以执行。若有一方不同意，决策则不通过。 被骗子修改为多重签名的 TRX 账户就像是这样一家公司，即便用户持有钱包助记词，但也已经无法「独立完成」对这个钱包的转账等重大操作。 用户只能将代币转入这个账户，却无法转出，骗子就是利用这一点从而「放长线钓大鱼」，等到用户在账户中积累了足够的代币后再一次性盗走。如果一个用户从来都是只收款不转账，且不去链上查看自己的账户权限，那他可能会一直蒙在鼓里并持续地向这个账户转钱。 另外，骗子除了通过诱导用户下载假钱包方式外，还会通过以下两类方式利用多重签名诈骗： 在 Telegram 等社交平台推广充值网站，诱导用户使用数字代币进行充值，实际上是趁用户充值时获取账户的拥有者权限，导致用户失去对账户的控制权； 在 Telegram、微信等社交平台公开自己的助记词 / 私钥，诱导用户转入 TRX 作为手续费以转走钱包内的代币，但实际骗子早已将拥有者权限转移，最终导致用户损失 TRX。 不要相信天下不会有免费的午餐，切莫贪小便宜 消息来源:

【Bitrace协助山西警方成功打击盗币团伙，用户应选择官方渠道下载钱包并警惕新型多重签名盗币手法】

【Bitrace协助山西警方成功打击盗币团伙，用户应选择官方渠道下载钱包并警惕新型多重签名盗币手法】 4月2日消息，区块链数据分析公司币追 Bitrace 协助山西警方成功打击了一个制造并分销假钱包的团伙。该团伙长期以来一直通过 Telegram、微信群等方式分发假钱包 APK 安装包，并在搜索引擎上购买广告服务，仿冒 TokenPocket 官方网站，诱导受害者下载并安装假钱包后盗取加密资产。目前，该案件正在进一步调查和审理中。 Bitrace 提醒，用户务必从正规的应用商店或官方网站下载钱包，切勿安装通过 Telegram 或微信群发送的 APK 安装包，或从搜索引擎下载的钱包，以免加密资产被盗取。此外近期有大量受害者遭遇新型多重签名手法盗币，用户需谨慎此类新型骗局。

【新加坡警方建议使用硬件钱包防范加密货币流失者】

【新加坡警方建议使用硬件钱包防范加密货币流失者】 新加坡警察局（SPF）和网络安全局（CSA）发布了一份关于加密货币引流器的联合公告，这些引流器正成为窃取投资者资金的手段日益增多。钓鱼攻击通过未经授权从用户钱包中提取资金的恶意软件开始，然后利用虚假的交易平台注入有害智能合约来提取资金。当局对商业引流套件表示担忧，并敦促个人采取预防措施，如使用硬件钱包进行研究、报告事件和撤销可疑代币批准以保护自己的资产。 快讯/广告 联系 @xingkong888885

【慢雾：Solana公链上发生大规模盗币，建议用户先将热钱包代币转移到硬件钱包或知名交易所】

【慢雾：Solana公链上发生大规模盗币，建议用户先将热钱包代币转移到硬件钱包或知名交易所】 8月3日消息，据慢雾区情报，Solana公链上发生大规模盗币事件，大量用户在不知情的情况下被转移SOL和SPL代币，慢雾安全团队对此事件进行跟踪分析： 已知攻击者地址： Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV、CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu、5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n、GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy 目前攻击仍在进行，从交易特征上看，攻击者在没有使用攻击合约的情况下，对账号进行签名转账，初步判断是私钥泄露。不少受害者反馈，他们使用过多种不同的钱包，以移动端钱包为主，我们推测可能问题出现在软件供应链上。在新证据被发现前，我们建议用户先将热钱包代币转移到硬件钱包或知名交易所等相对安全的位置，等待事件分析结果。

$R86 我们有一个由社区建立的多重签名钱包（MSMW 钱包），到目前为止已经筹集了......

$R86 我们有一个由社区建立的多重签名钱包（MSMW 钱包），到目前为止已经筹集了...... 0.05 Eth - 销毁大赛 0.4 Eth - Dextools 更新 0.12 Eth - 以太坊趋势 社区永不放弃 刻录编码将永远存在 在短短 3 个月内燃烧超过 17%！ 微型帽 供应冲击将会到来 这是尽早参与这项运动的绝佳机会。 想象一下，在下一次牛市中，具有超通货紧缩销毁机制的微型股会受到供应冲击 https://t.me/RADICAL86 https://www.dextools.io/app/en/ether/pair-explorer/0xbfb92737495f3459d55720e9884f22454f68073d