TP錢包詐騙 (TokenPocket Wallet) 熱錢包

Posted on by exbtcoin

搞清楚正確的APP,多留意不要下載到假的釣魚APP,多重簽名需開啟多重保護機制

BlockBeats 律動財經 2023-03-06 15:00

news-cover-image
律動財經圖片

近期,波場 TRON 和在 TokenPocket 的社區均有用戶反映,自己的錢包被莫名其妙設置了「多簽」,而無法順利進行加密資產的收發,更嚴重的是錢包內的資產被盜。

前述用戶遭遇的正是針對波場 TronLink 錢包和 TokenPocket 錢包的多簽騙局。

對於剛踏入加密世界的新人們而言,如何正確使用自己的錢包永遠都是一個繞不開的話題。整個加密世界就像一個黑暗森林,圍繞着錢包的欺詐也層出不窮,用戶稍有不慎就會失去自己的資產。

那麼這個多簽機制到底是什麼,為何一些用戶會中招?是波場 TRON 的安全機制設計有問題,還是欺詐者有意為之的陷阱?如果你在使用前述錢包,或者希望搞清楚波場 TRON 的多簽機制原理以避免遭遇騙局,這篇文章將會對你有所幫助。

被多簽的原因是什麼?

我們可以先了解下波場 TRON 的多簽機制。

一般來說,你在錢包中的每一筆交易,都需要自己進行「簽名」才會被執行;這種簽名可以是輸入自己設置的密碼,也可以是手機上的輸入指紋。在這種情況下,「你單獨決定帳戶里的資金去留」。僅需自己簽名,就可以完成自己帳戶中的加密資產轉移。

但也存在「多人共同決定帳戶資金去留」的場景,例如團隊和公司的共同加密資產,或是你為了保險起見,自己有 2 個錢包,當 2 個錢包都同意交易時,這筆交易才會被通過。在這樣的情況下,一個帳戶可以由多個私鑰管理,並且在一個帳戶中創建的交易可以由多個私鑰簽名,實現多人以不同的權重共同管理加密資產。

而波場 TRON 的 TronLink 錢包以及 TokenPocket 錢包界面中,都可以設置多簽機制,以滿足不同的使用場景和需要。

針對波場錢包的多簽騙局真相如何,用戶如何保障資產安全?

圖片來源:波場錢包文檔

明白了何為多簽,我們再來看看用戶們被多簽可能的原因。

第一種,用戶主動設置了多簽簽名

一些新手在摸索錢包功能時誤操作設置成了多簽。當資產轉賬時,由於設置了多簽,需要至少 2 個錢包地址共同完成對這筆交易的簽名和確認,此時僅憑用戶手上的 1 個錢包,無法完整的達成整個交易,導致交易受阻。

這種狀況是用戶誤操作所致, 用戶的資產仍然是安全的。這種情況解決起來比較簡單,用戶僅需在交易時滿足多簽要求,或是取消多簽的設置用單獨簽名執行交易即可。

第二種,用戶私鑰泄露,導致被別人多簽

最常見的情形是用戶通過釣魚網站下載到假錢包。用戶使用假的錢包軟體時也會生成私鑰和助記詞。

但假錢包可能竊取私鑰/助記詞,也就意味著用戶錢包的控制權旁落;此時,通過多簽機制,竊取者可以將他和你的地址一起設置成多簽,當用戶單獨轉賬時會發現無法順利進行。而對方由於有你的私鑰,再配合他的多簽帳戶,從而轉走你的資金。

第三種,他人釣魚故意泄露私鑰,導致轉入資金無法取回

這種方式雖然古老,但也是新手們的重災區。騙子直接將自己的錢包私鑰公開給你,往往該錢包中還有數額不小的其他資產。他有可能謊稱自己不會操作,請求你幫助他操作錢包轉入一定數量的 TRX,並且轉出等額的穩定幣資產。

用戶可能認為自己占了便宜,導入對方的私鑰或助記詞,並且往該錢包中轉入 TRX。此時,多簽陷阱就會被觸發。

騙子給的錢包其實已經被設置成多簽錢包,因此此時即使你得到了他的私鑰,也無法順利操作其中的資產,而你轉入的資產就有去無回了。

針對波場錢包的多簽騙局真相如何,用戶如何保障資產安全?

圖片來源:TP 錢包

第四種,點擊釣魚鏈接造成權限變更

這一種可能是用戶點擊釣魚鏈接而導致錢包的權限被更改。例如,騙子構造一個以低價購買各類卡券或充值的網站,當用戶使用他們提供的鏈接進行充值時,就會調用惡意權限提升的代碼,用戶直接確認並輸入密碼簽名後,會導致自己錢包地址的權限發生變更。

TP 錢包提供的實際案例顯示,用戶點擊釣魚鏈接後進行轉賬,錢包會直接給出提示,告知用戶本次操作其實並不是一次單純的轉賬,而是在「調用升級賬號權限」的功能。一旦用戶點擊確認後也就意味著向騙子授權多簽。而當用戶的錢包地址被惡意多簽後,這時再進行轉賬就會出現問題,也有可能讓對方利用更多的權限轉移資金。

針對波場錢包的多簽騙局真相如何,用戶如何保障資產安全?

圖片來源:TP 錢包

多簽安全,首先需要私鑰安全

從以上四種常見被多簽的情形可以看到,用戶私鑰的泄露,或是輕信他人的釣魚鏈接和錢包,是導致資產的丟失的直接原因。

在這些騙局中,多簽機制更多是「躺槍」而被欺詐者利用成為實現騙局的一種手段。

這顯然不是波場 TRON 多簽機制的出發點。

我們可以把波場錢包的多簽機制想象成安全性更高的防盜鎖組合,需要解開多個鎖孔才能行動家裡的資產。但這種安全性有一個前提,即用戶需要守好屬於自己原有的權限。如果解開鎖孔的鑰匙全在一個人手中,那麼功能再好的防盜鎖也會失去價值。

針對波場錢包的多簽騙局真相如何,用戶如何保障資產安全?

將目前的錢包欺詐問題和波場的多簽機制放在一起看,我們不難發現:大多數情況下用戶是無心之失,而多簽機制本身也沒什麼問題,問題更多的來源於環境–加密世界裡的用戶和欺詐者技術能力上不對等,行業早期也缺乏更加成熟的技術預警、識別和反制措施。

不過,在當前的情況下,波場 TRON 在用戶側提供多簽機制的同時,是否也可以在開發側更近一步,用技術的方式儘可能降低欺詐發生的可能性?

波場 TRON 目前的多簽機制,僅在 TronLink 錢包以及 TokenPocket 錢包中可以使用。

目前,考慮到多簽涉及到較為敏感的私鑰簽名,波場 TRON 在 API 參考手冊中,已經關閉了涉及私鑰簽名的接口服務。

針對波場錢包的多簽騙局真相如何,用戶如何保障資產安全?

除此之外,錢包和其他相關產品可以根據其具體需求對多重簽名進行評估,並決定是否向用戶展示相關提示資訊以及以何種方式來展示提示資訊。所以,波場 TRON 多簽機制是否呈現在用戶面前並不是一種「必選項」。在出現這種選項時,也不會以犧牲安全性和可靠性為代價。

不過,資產最終的安全性,還是離不開用戶內心安全意識的增強。少一些對天上掉餡餅的期待,多一些對誘惑陷阱的防範,警惕可能出現的騙局,整個加密世界的安全性也會得到進一步提升。

留言