近期链侦科技收到了很多用户钱包里的数字资产无法转账的现象,经我们团队调查后,这些用户钱包是被“多签”了,基本都发生在波场链上,甚至不少用户损失了十几万美金的数字资产。
针对“多签”问题有必要做一期相关科普,让大家知道“多签”到底是什么?大家的钱包账户是如何被“多签”的,以及最重要的钱包防护策略。
一、什么是“多签”
相关多签案件基本都是集中在波场区块链上,我们就以波场多签为例。
波场(TRON)的多重签名机制是一种安全措施,通过设置阈值和权重来限制特定的操作,只能在多个签名方的共同确认下才能执行。在波场多签机制中,阈值是指多少个签名方需要确认才能执行特定的操作。例如阈值为 2,那么在执行特定操作时至少需要签名方权重大于等于阈值才进行确认。阈值可以在多签合约中进行设置,根据具体需求进行调整。
权重是指每个签名方的权重大小,它可以决定每个签名方在多签操作中所占比例。例如,如果设置了阈值为2,两个签名方权重为 1,那么在执行特定操作时,需要两个拥有权重为 1 的签名方的确认才可以生效。权重的设置需要在合约中进行设置,并且必须满足所有签名方权重之和大于等于总权重的要求。
通过设置阈值和权重,波场多签机制可以提高合约的安全性,防止合约被未经授权的操作所篡改或者被攻击者利用进行恶意操作。
通俗易懂的讲,本来钱包账户由一个私钥来控制,但单一私钥控制又会带来一些安全风险,比如A用户的钱包私钥被盗,那么钱包所有的资产都将被盗走,而多签就是引入多个私钥来控制。
比如引入2个私钥共同控制A钱包账户,只有2组私钥全部同意才能从A钱包账户中提取资产,如此就大大增强了数字资产安全性,你可以引入3组私钥来共同控制,到达了阈值才能提取资产,这就是多签的原理
多签本来是为了增强钱包安全性,但对于刚踏入加密世界的新人们而言,多签反而成了一个极易上当的陷阱,被骗子精心利用后会成为其盗取资产的工具。
二、被“多签”的主要被骗场景
1、恶心的第三方链接
用户有时候会被第三方链接所吸引,比如低价购买某些服务,当用户使用他们的链接进行充值时,就会调用恶意更改权限的代码,当用户确认并输入密码签名后,地址的权限便发生了变更。
现在市场上大部分钱包都会提示相关风险,阻止你最后一步,但总有一些大意的用户还是完成了最后一步确认,最终失去了钱包中数字资产的控制权
2、冒牌网站的假钱包
假钱包导致被“多签”的案例最多,比如链侦科技最近收到一些用户案例,都是因为下载了假钱包导致了被多签。很多新人用户在下载钱包的渠道上会使用百度搜索,而百度上排名靠前的相关钱包很多并不是官方钱包,但名称、Logo,甚至网址都高度相似。
展开全文
用户下载这些钱包后,并不会发现异常,操作使用的时候完全跟正常钱包一模一样,直到自己向该钱包地址充币后在转账才发现数字资产根本无法转移。
因为用户下载的钱包根本不是官方钱包,骗子直接可以获取用户的私钥信息,强行添加骗子的多签地址,从而彻底控制用户钱包资产。
3、钓鱼泄露私钥套路
有些骗子故意到处泄露自己的钱包私钥,然后用户一查链上资产,发现该地址有大量的数字资产,却没有相关区块链的Gas代币,比如波场区块链的TRX,而转账却需要TRX来作为手续费。
很多用户以为自己捡到宝了,飞来一笔横财,一旦用户向该地址充入TRX作为手续费后,兴高采烈准备的提币走人时才发现根本转不出去,白白损失了手续费。其实骗子故意泄露给你的钱包私钥,早就被骗子多签了,控制权始终在骗子手中。
三、如何有效防止被“多签”
1、不要被一些第三方链接所吸引,即使你被成功勾引了,大部分钱包在最后一步“权限升级”时会跳出风险提示,这个时候就必须及时收手,万不可大意,抱有侥幸心理。
2、一定不要使用百度去搜索数字资产钱包,这里是踩坑最多的地方,我们建议新人用户去询问相关老用户,经过多方确认这是官方钱包后才能下载,不然骗子们早就在互联网中编织好一张网等着你。
3、不要相信任何天上掉馅饼的事,天上只会掉下来一个个骗局,少一点贪心,就足以免疫大部分骗局
最后如果你已经被“多签”骗局所害,可以及时联系我们链侦科技,我们有丰富的链上资产追查业务经验和区块链安全技术人员,以及整套的法律、执法协作。返回搜狐,查看更多