針對波場錢包的多簽騙局真相如何，用戶如何保障資產安全？

WikiBit 2023-03-11 08:00

多簽安全，首先需要私密金鑰安全。

　　近期，波場 TRON 和在 TokenPocket 的社區均有用戶反映，自己的錢包被莫名其妙設置了「多簽」，而無法順利進行加密資產的收發，更嚴重的是錢包內的資產被盜。

　　前述用戶遭遇的正是針對波場 TronLink 錢包和 TokenPocket 錢包的多簽騙局。

　　對於剛踏入加密世界的新人們而言，如何正確使用自己的錢包永遠都是一個繞不開的話題。整個加密世界就像一個黑暗森林，圍繞著錢包的欺詐也層出不窮，用戶稍有不慎就會失去自己的資產。

　　那麼這個多簽機制到底是什麼，為何一些用戶會中招？是波場 TRON 的安全機制設計有問題，還是欺詐者有意為之的陷阱？如果你在使用前述錢包，或者希望搞清楚波場 TRON 的多簽機制原理以避免遭遇騙局，這篇文章將會對你有所幫助。

被多簽的原因是什麼？

　　我們可以先瞭解下波場 TRON 的多簽機制。

　　一般來說，你在錢包中的每一筆交易，都需要自己進行「簽名」才會被執行；這種簽名可以是輸入自己設置的密碼，也可以是手機上的輸入指紋。在這種情況下，「你單獨決定帳戶裡的資金去留」。僅需自己簽名，就可以完成自己帳戶中的加密資產轉移。

　　但也存在「多人共同決定帳戶資金去留」的場景，例如團隊和公司的共同加密資產，或是你為了保險起見，自己有 2 個錢包，當 2 個錢包都同意交易時，這筆交易才會被通過。在這樣的情況下，一個帳戶可以由多個私密金鑰管理，並且在一個帳戶中創建的交易可以由多個私密金鑰簽名，實現多人以不同的權重共同管理加密資產。

　　而波場 TRON 的 TronLink 錢包以及 TokenPocket 錢包介面中，都可以設置多簽機制，以滿足不同的使用場景和需要。

　　圖片來源：波場錢包文檔

　　明白了何為多簽，我們再來看看用戶們被多簽可能的原因。

第一種，用戶主動設置了多簽簽名

　　一些新手在摸索錢包功能時誤操作設置成了多簽。當資產轉帳時，由於設置了多簽，需要至少 2 個錢包位址共同完成對這筆交易的簽名和確認，此時僅憑用戶手上的 1 個錢包，無法完整的達成整個交易，導致交易受阻。

　　這種狀況是用戶誤操作所致, 用戶的資產仍然是安全的。這種情況解決起來比較簡單，使用者僅需在交易時滿足多簽要求，或是取消多簽的設置用單獨簽名執行交易即可。

第二種，用戶私密金鑰洩露，導致被別人多簽

　　最常見的情形是用戶通過釣魚網站下載到假錢包。使用者使用假的錢包軟體時也會生成私密金鑰和助記詞。

　　但假錢包可能竊取私密金鑰/助記詞，也就意味著用戶錢包的控制權旁落；此時，通過多簽機制，竊取者可以將他和你的位址一起設置成多簽，當用戶單獨轉帳時會發現無法順利進行。而對方由於有你的私密金鑰，再配合他的多簽帳戶，從而轉走你的資金。

第三種，他人釣魚故意洩露私密金鑰，導致轉入資金無法取回

　　這種方式雖然古老，但也是新手們的重災區。騙子直接將自己的錢包私密金鑰公開給你，往往該錢包中還有數額不小的其他資產。他有可能謊稱自己不會操作，請求你幫助他操作錢包轉入一定數量的 TRX，並且轉出等額的穩定幣資產。

　　用戶可能認為自己占了便宜，導入對方的私密金鑰或助記詞，並且往該錢包中轉入 TRX。此時，多簽陷阱就會被觸發。

　　騙子給的錢包其實已經被設置成多簽錢包，因此此時即使你得到了他的私密金鑰，也無法順利操作其中的資產，而你轉入的資產就有去無回了。

　　圖片來源：TP 錢包

　　第四種，點擊釣魚連結造成許可權變更

　　這一種可能是使用者點擊釣魚連結而導致錢包的許可權被更改。例如，騙子構造一個以低價購買各類卡券或充值的網站，當使用者使用他們提供的連結進行充值時，就會調用惡意許可權提升的代碼，使用者直接確認並輸入密碼簽名後，會導致自己錢包位址的許可權發生變更。

　　TP 錢包提供的實際案例顯示，使用者點擊釣魚連結後進行轉帳，錢包會直接給出提示，告知用戶本次操作其實並不是一次單純的轉帳，而是在「調用升級帳號許可權」的功能。一旦用戶點擊確認後也就意味著向騙子授權多簽。而當用戶的錢包位址被惡意多簽後，這時再進行轉帳就會出現問題，也有可能讓對方利用更多的許可權轉移資金。