多簽安全,首先需要私密金鑰安全。
近期,波場 TRON 和在 TokenPocket 的社區均有用戶反映,自己的錢包被莫名其妙設置了「多簽」,而無法順利進行加密資產的收發,更嚴重的是錢包內的資產被盜。
前述用戶遭遇的正是針對波場 TronLink 錢包和 TokenPocket 錢包的多簽騙局。
對於剛踏入加密世界的新人們而言,如何正確使用自己的錢包永遠都是一個繞不開的話題。整個加密世界就像一個黑暗森林,圍繞著錢包的欺詐也層出不窮,用戶稍有不慎就會失去自己的資產。
那麼這個多簽機制到底是什麼,為何一些用戶會中招?是波場 TRON 的安全機制設計有問題,還是欺詐者有意為之的陷阱?如果你在使用前述錢包,或者希望搞清楚波場 TRON 的多簽機制原理以避免遭遇騙局,這篇文章將會對你有所幫助。
我們可以先瞭解下波場 TRON 的多簽機制。
一般來說,你在錢包中的每一筆交易,都需要自己進行「簽名」才會被執行;這種簽名可以是輸入自己設置的密碼,也可以是手機上的輸入指紋。在這種情況下,「你單獨決定帳戶裡的資金去留」。僅需自己簽名,就可以完成自己帳戶中的加密資產轉移。
但也存在「多人共同決定帳戶資金去留」的場景,例如團隊和公司的共同加密資產,或是你為了保險起見,自己有 2 個錢包,當 2 個錢包都同意交易時,這筆交易才會被通過。在這樣的情況下,一個帳戶可以由多個私密金鑰管理,並且在一個帳戶中創建的交易可以由多個私密金鑰簽名,實現多人以不同的權重共同管理加密資產。
而波場 TRON 的 TronLink 錢包以及 TokenPocket 錢包介面中,都可以設置多簽機制,以滿足不同的使用場景和需要。
圖片來源:波場錢包文檔
明白了何為多簽,我們再來看看用戶們被多簽可能的原因。
一些新手在摸索錢包功能時誤操作設置成了多簽。當資產轉帳時,由於設置了多簽,需要至少 2 個錢包位址共同完成對這筆交易的簽名和確認,此時僅憑用戶手上的 1 個錢包,無法完整的達成整個交易,導致交易受阻。
這種狀況是用戶誤操作所致, 用戶的資產仍然是安全的。這種情況解決起來比較簡單,使用者僅需在交易時滿足多簽要求,或是取消多簽的設置用單獨簽名執行交易即可。
最常見的情形是用戶通過釣魚網站下載到假錢包。使用者使用假的錢包軟體時也會生成私密金鑰和助記詞。
但假錢包可能竊取私密金鑰/助記詞,也就意味著用戶錢包的控制權旁落;此時,通過多簽機制,竊取者可以將他和你的位址一起設置成多簽,當用戶單獨轉帳時會發現無法順利進行。而對方由於有你的私密金鑰,再配合他的多簽帳戶,從而轉走你的資金。
這種方式雖然古老,但也是新手們的重災區。騙子直接將自己的錢包私密金鑰公開給你,往往該錢包中還有數額不小的其他資產。他有可能謊稱自己不會操作,請求你幫助他操作錢包轉入一定數量的 TRX,並且轉出等額的穩定幣資產。
用戶可能認為自己占了便宜,導入對方的私密金鑰或助記詞,並且往該錢包中轉入 TRX。此時,多簽陷阱就會被觸發。
騙子給的錢包其實已經被設置成多簽錢包,因此此時即使你得到了他的私密金鑰,也無法順利操作其中的資產,而你轉入的資產就有去無回了。
圖片來源:TP 錢包
第四種,點擊釣魚連結造成許可權變更
這一種可能是使用者點擊釣魚連結而導致錢包的許可權被更改。例如,騙子構造一個以低價購買各類卡券或充值的網站,當使用者使用他們提供的連結進行充值時,就會調用惡意許可權提升的代碼,使用者直接確認並輸入密碼簽名後,會導致自己錢包位址的許可權發生變更。
TP 錢包提供的實際案例顯示,使用者點擊釣魚連結後進行轉帳,錢包會直接給出提示,告知用戶本次操作其實並不是一次單純的轉帳,而是在「調用升級帳號許可權」的功能。一旦用戶點擊確認後也就意味著向騙子授權多簽。而當用戶的錢包位址被惡意多簽後,這時再進行轉帳就會出現問題,也有可能讓對方利用更多的許可權轉移資金。
圖片來源:TP 錢包
從以上四種常見被多簽的情形可以看到,用戶私密金鑰的洩露,或是輕信他人的釣魚連結和錢包,是導致資產的丟失的直接原因。
在這些騙局中,多簽機制更多是「躺槍」而被欺詐者利用成為實現騙局的一種手段。
這顯然不是波場 TRON 多簽機制的出發點。
我們可以把波場錢包的多簽機制想像成安全性更高的防盜鎖組合,需要解開多個鎖孔才能移動家裡的資產。但這種安全性有一個前提,即使用者需要守好屬於自己原有的許可權。如果解開鎖孔的鑰匙全在一個人手中,那麼功能再好的防盜鎖也會失去價值。
將目前的錢包欺詐問題和波場的多簽機制放在一起看,我們不難發現:大多數情況下使用者是無心之失,而多簽機制本身也沒什麼問題,問題更多的來源於環境--加密世界裡的用戶和欺詐者技術能力上不對等,行業早期也缺乏更加成熟的技術預警、識別和反制措施。
不過,在當前的情況下,波場 TRON 在用戶側提供多簽機制的同時,是否也可以在開發側更近一步,用技術的方式盡可能降低欺詐發生的可能性?
波場 TRON 目前的多簽機制,僅在 TronLink 錢包以及 TokenPocket 錢包中可以使用。
目前,考慮到多簽涉及到較為敏感的私密金鑰簽名,波場 TRON 在 API 參考手冊中,已經關閉了涉及私密金鑰簽名的介面服務。
除此之外,錢包和其他相關產品可以根據其具體需求對多重簽名進行評估,並決定是否向使用者展示相關提示資訊以及以何種方式來展示提示資訊。所以,波場 TRON 多簽機制是否呈現在用戶面前並不是一種「必選項」。在出現這種選項時,也不會以犧牲安全性和可靠性為代價。
不過,資產最終的安全性,還是離不開用戶內心安全意識的增強。少一些對天上掉餡餅的期待,多一些對誘惑陷阱的防範,警惕可能出現的騙局,整個加密世界的安全性也會得到進一步提升。
免責聲明:
本文觀點僅代表作者個人觀點,不構成本平台的投資建議,本平台不對文章信息準確性、完整性和及時性作出任何保證,亦不對因使用或信賴文章信息引發的任何損失承擔責任
0.00