背景

在上一期 Web3 安全入門(mén)避坑指南中，我們主要講解下載/購(gòu)買(mǎi)錢(qián)包時(shí)的風(fēng)險(xiǎn)，找到真官網(wǎng)和驗(yàn)證錢(qián)包真?zhèn)蔚姆椒?，以及私鑰/助記詞的泄露風(fēng)險(xiǎn)。我們常說(shuō) “Not your keys, not your coins”，但也存在即使你有私鑰/助記詞，也無(wú)法控制自己資產(chǎn)的情況，即錢(qián)包被惡意多簽了。結(jié)合我們收集到的 MistTrack 被盜表單，一些用戶(hù)的錢(qián)包被惡意多簽后，不明白為什么自己錢(qián)包賬戶(hù)里還有余額，卻無(wú)法把資金轉(zhuǎn)出。因此，本期我們將以 TRON 錢(qián)包為例，講解多簽釣魚(yú)的相關(guān)知識(shí)，包括多簽機(jī)制、黑客的常規(guī)操作及如何避免錢(qián)包被惡意多簽等內(nèi)容。

多簽機(jī)制

我們先簡(jiǎn)單解釋下什么是多簽，多簽機(jī)制的本意是為了使得錢(qián)包更安全，允許多個(gè)用戶(hù)共同管理和控制同一個(gè)數(shù)字資產(chǎn)錢(qián)包的訪問(wèn)和使用權(quán)限。盡管部分管理者丟失或泄露了私鑰/助記詞，錢(qián)包里的資產(chǎn)也不一定會(huì)受損。

TRON 的多重簽名權(quán)限系統(tǒng)設(shè)計(jì)了三種不同的權(quán)限：Owner、Witness 和 Active，每種權(quán)限都有特定的功能和用途。

Owner 權(quán)限

• 擁有執(zhí)行所有合約和操作的最高權(quán)限；
• 只有擁有該權(quán)限才能修改其他權(quán)限，包括添加或移除其他簽名者；
• 創(chuàng)建新賬戶(hù)后，默認(rèn)為賬戶(hù)本體擁有該權(quán)限。

Witness 權(quán)限

這個(gè)權(quán)限主要與超級(jí)代表(Super Representatives) 相關(guān)，擁有該權(quán)限的賬戶(hù)能夠參與超級(jí)代表的選舉和投票，管理與超級(jí)代表相關(guān)的操作。

Active 權(quán)限

用于日常操作，例如轉(zhuǎn)賬和調(diào)用智能合約。這個(gè)權(quán)限可以由 Owner 權(quán)限設(shè)定和修改，常用于分配給需要執(zhí)行特定任務(wù)的賬戶(hù)，它是若干授權(quán)操作（比如 TRX 轉(zhuǎn)賬、質(zhì)押資產(chǎn)）的一個(gè)集合。

上文中提到，新建賬戶(hù)時(shí)，該賬戶(hù)的地址會(huì)默認(rèn)擁有 Owner 權(quán)限（最高權(quán)限），可以調(diào)整賬戶(hù)的權(quán)限結(jié)構(gòu)，選擇將該賬戶(hù)的權(quán)限授權(quán)給哪些地址，規(guī)定這些地址所占權(quán)重的大小，以及設(shè)置閾值。閾值是指需要簽名方權(quán)重到達(dá)多少才能執(zhí)行特定操作。在下圖中，閾值設(shè)置為 2，3 個(gè)被授權(quán)地址的權(quán)重都為 1，那么在執(zhí)行特定操作時(shí)，只要有 2 個(gè)簽名方的確認(rèn)，這個(gè)操作就可以生效。

(https://support.tronscan.org/hc/article_attachments/29939335264665)

惡意多簽的過(guò)程

黑客獲取用戶(hù)私鑰/助記詞后，如果用戶(hù)沒(méi)有使用多簽機(jī)制（即該錢(qián)包賬戶(hù)僅由用戶(hù)一人控制），黑客便可以將 Owner/Active 權(quán)限也授權(quán)給自己的地址或者將用戶(hù)的 Owner/Active 權(quán)限轉(zhuǎn)移給自己，黑客的這兩種操作通常都被大家稱(chēng)為惡意多簽，但其實(shí)這是一個(gè)廣義的說(shuō)法，實(shí)際上，可以根據(jù)用戶(hù)是否還擁有 Owner/Active 權(quán)限來(lái)區(qū)分：

利用多簽機(jī)制

下圖中，用戶(hù)的 Owner/Active 權(quán)限未被移除，黑客給自己的地址授權(quán)了 Owner/Active 權(quán)限，此時(shí)賬戶(hù)由用戶(hù)和黑客共同控制（閾值為 2），用戶(hù)地址和黑客地址的權(quán)重都為 1。用戶(hù)雖然持有私鑰/助記詞，也有 Owner/Active 權(quán)限，但無(wú)法轉(zhuǎn)移自己的資產(chǎn)，因?yàn)橛脩?hù)發(fā)起轉(zhuǎn)出資產(chǎn)請(qǐng)求時(shí)，需要用戶(hù)和黑客的地址都簽名，這個(gè)操作才能正常執(zhí)行。

雖然被多簽的賬戶(hù)執(zhí)行轉(zhuǎn)出資產(chǎn)的操作需要多方簽名的確認(rèn)才可以實(shí)現(xiàn)，但是向錢(qián)包賬戶(hù)入賬是不需要多方簽名的。如果用戶(hù)沒(méi)有定期檢查賬戶(hù)權(quán)限情況的習(xí)慣或者近期沒(méi)有轉(zhuǎn)出操作的話(huà)，一般不會(huì)發(fā)現(xiàn)自己錢(qián)包賬戶(hù)的授權(quán)被更改，那么便持續(xù)受損。如果錢(qián)包內(nèi)的資產(chǎn)不多，黑客可能會(huì)放長(zhǎng)線(xiàn)釣大魚(yú)，等待該賬戶(hù)積累了一定數(shù)字資產(chǎn)后，再一次性盜取所有數(shù)字資產(chǎn)。

利用TRON的權(quán)限管理設(shè)計(jì)機(jī)制

還有一種情況是黑客利用 TRON 的權(quán)限管理設(shè)計(jì)機(jī)制，直接將用戶(hù)的 Owner/Active 權(quán)限轉(zhuǎn)移給黑客地址（閾值仍為 1），使得用戶(hù)失去 Owner/Active 權(quán)限，連“投票權(quán)”都沒(méi)有了。需注意，此處黑客并不是利用多簽機(jī)制使得用戶(hù)無(wú)法轉(zhuǎn)移資產(chǎn)，但大家習(xí)慣上稱(chēng)這種情況也為錢(qián)包被惡意多簽。

以上兩種情況造成的結(jié)果是一樣的，無(wú)論用戶(hù)是否還擁有 Owner/Active 權(quán)限，都失去了對(duì)該賬戶(hù)的實(shí)際控制權(quán)，黑客地址獲得了賬戶(hù)的最高權(quán)限，可實(shí)現(xiàn)更改賬戶(hù)權(quán)限、轉(zhuǎn)移資產(chǎn)等操作。

惡意多簽的途徑

結(jié)合 MistTrack 收集到的被盜表單，我們總結(jié)出了幾種錢(qián)包被惡意多簽的常見(jiàn)原因，希望用戶(hù)遇到以下幾種情況時(shí)，提高警惕：

1. 在下載錢(qián)包時(shí)，未能找到正確的途徑，點(diǎn)擊了電報(bào)、推特、網(wǎng)友發(fā)送的假官網(wǎng)鏈接，下載到假錢(qián)包，結(jié)果私鑰/助記詞泄露，錢(qián)包被惡意多簽。

2. 用戶(hù)在一些出售加油卡、禮品卡、VPN 服務(wù)的釣魚(yú)充值網(wǎng)站輸入了私鑰/助記詞，結(jié)果失去自己錢(qián)包賬戶(hù)的控制權(quán)。

3. OTC 交易時(shí)，被有心之人拍到私鑰/助記詞或以某手段獲取賬戶(hù)的授權(quán)，隨后錢(qián)包被惡意多簽，資產(chǎn)受損。

4. 一些騙子把私鑰/助記詞提供給你，稱(chēng)他無(wú)法提取錢(qián)包賬戶(hù)里的資產(chǎn)，如果你能幫忙的話(huà)可以給你酬勞。雖然這個(gè)私鑰/助記詞對(duì)應(yīng)的錢(qián)包地址確實(shí)存在資金，但無(wú)論你給多少手續(xù)費(fèi)、手速多快都提不走，因?yàn)樘釒艡?quán)限被騙子配置給了另一個(gè)地址。

5. 還有一種較為少見(jiàn)的情況是用戶(hù)在 TRON 上點(diǎn)擊了釣魚(yú)鏈接，簽名了惡意的數(shù)據(jù)，隨后錢(qián)包被惡意多簽。

總結(jié)

在本期指南中，我們主要以 TRON 錢(qián)包為例，講解了多簽機(jī)制、黑客實(shí)施惡意多簽的過(guò)程和套路，希望幫助大家加深對(duì)多簽機(jī)制的理解和提高防范錢(qián)包被惡意多簽的能力。當(dāng)然，除了被惡意多簽的情形之外，還存在一些比較特別的案例，有的新手用戶(hù)可能因操作不慎或缺乏了解，誤將錢(qián)包設(shè)置成了多簽，導(dǎo)致需要多個(gè)簽名才能進(jìn)行轉(zhuǎn)賬。此時(shí)，用戶(hù)僅需滿(mǎn)足多簽要求或在權(quán)限管理處將 Owner/Active 權(quán)限只授權(quán)給一個(gè)地址，恢復(fù)單簽即可。

最后，慢霧安全團(tuán)隊(duì)建議廣大用戶(hù)定期檢查賬戶(hù)權(quán)限，查看是否有異常；從官方途徑下載錢(qián)包，我們?cè)赪eb3 安全入門(mén)避坑指南｜假錢(qián)包與私鑰助記詞泄露風(fēng)險(xiǎn)里講過(guò)如何找到正確的官網(wǎng)和驗(yàn)證錢(qián)包的真?zhèn)?；不點(diǎn)擊不明鏈接，更不輕易輸入私鑰/助記詞；安裝殺毒軟件（如卡巴斯基、AVG 等）和釣魚(yú)風(fēng)險(xiǎn)阻斷插件（如 Scam Sniffer），提高設(shè)備安全性。

你可能感興趣的文章

• 

  什么是NFT錢(qián)包？如何選擇？2025年最佳NFT錢(qián)包匯總

  什么是NFT錢(qián)包？如何選擇？NFT是加密貨幣和投資領(lǐng)域的關(guān)鍵趨勢(shì)之一, 由于其獨(dú)特的特性，這些資產(chǎn)在許多領(lǐng)域都得到了實(shí)際應(yīng)用, 因此，通過(guò)正確的方法，這種投資方式可以讓您…

  2025-06-06
• 

  如何選擇合適自己的加密錢(qián)包？五個(gè)步驟選擇適合您的加密錢(qián)包

  加密錢(qián)包持有控制您在區(qū)塊鏈上數(shù)字資產(chǎn)的私鑰,這些錢(qián)包通常是應(yīng)用程序，例如瀏覽器擴(kuò)展程序或移動(dòng)應(yīng)用,然而，硬件錢(qián)包也提供了更安全的替代方案，盡管需要付費(fèi),在本指南中…

  2025-06-06
• 

  2025年6月十大最佳加密錢(qián)包評(píng)估和推薦

  擁有最佳的加密錢(qián)包可以保護(hù)您的數(shù)字資產(chǎn)免遭盜竊、丟失或未經(jīng)授權(quán)的訪問(wèn),頂級(jí)解決方案還能讓您交易和投資資產(chǎn)、訪問(wèn)去中心化應(yīng)用、存儲(chǔ) NFT 等等,因此，在本指南中，我們…

  2025-06-05
• 

  新手必看！加密貨幣投資必須避免的常見(jiàn)錯(cuò)誤盤(pán)點(diǎn)

  自比特幣創(chuàng)建以來(lái)，加密貨幣市場(chǎng)已發(fā)展成為一個(gè)價(jià)值數(shù)萬(wàn)億美元的產(chǎn)業(yè),然而，加密貨幣投資并非沒(méi)有風(fēng)險(xiǎn)，尤其是對(duì)于初學(xué)者而言,許多新投資者陷入根本性錯(cuò)誤，本文探討了新手…

  2025-06-05
• 

  幣圈怎么追蹤加密貨幣KOL的錢(qián)包地址？有哪些實(shí)用技巧？

  幣圈如何追蹤KOL錢(qián)包地址的？KOL因?yàn)橛杏绊懥?，他們的一些行為?huì)對(duì)項(xiàng)目帶來(lái)一定的影響,常規(guī)情況下，一個(gè)項(xiàng)目一般是KOL先自己買(mǎi)入，然后再在社群中分享，最后才會(huì)在公開(kāi)渠道…

  2025-06-05
• 

  這個(gè)周期為什么有很多加密貨幣支付卡？加密貨幣支付卡未來(lái)如何？

  加密貨幣支付卡有什么用處？加密貨幣支付卡有什么優(yōu)勢(shì)？未來(lái)的加密支付卡將不僅是消費(fèi)工具，而是集支付、投資、信用評(píng)估和生態(tài)激勵(lì)于一體的綜合金融平臺(tái),通過(guò)與 DeFi、NFT …

  2025-06-05
• 

  手機(jī)如何做冷錢(qián)包？如何使用閑置的蘋(píng)果舊手機(jī)制作硬件冷錢(qián)包？

  手機(jī)如何制作硬件冷錢(qián)包？對(duì)于新人而言，如果資金體量不是很大，其實(shí)只要提高一下自己的安全使用意識(shí)，直接使用交易所或熱錢(qián)包（最好是選那些比較知名度高和口碑好的，比如…

  2025-06-05
• 

  USDT的錢(qián)包地址哪一種最安全?USDT錢(qián)包地址查看攻略

  USDT是一種與美元1:1綁定的穩(wěn)定幣，用于快速轉(zhuǎn)賬、交易和儲(chǔ)值，而USDT錢(qián)包地址就是接收或發(fā)送USDT的唯一標(biāo)識(shí)，類(lèi)似銀行賬戶(hù)號(hào)碼，下面小編就為大家詳細(xì)說(shuō)說(shuō)USDT錢(qián)包地址查…

  2025-06-04
• 

  加密貨幣錢(qián)包與加密貨幣交易所區(qū)別是什么？錢(qián)包與交易所差異介紹

  加密錢(qián)包的主要功能是通過(guò)管理私鑰以及相關(guān)的公鑰和地址來(lái)安全地存儲(chǔ)加密資產(chǎn),加密貨幣交易所主要用于使用法幣購(gòu)買(mǎi)加密貨幣或進(jìn)行幣幣之間的兌換,本文將介紹兩者的主要功能…

  2025-06-04
• 

  Solana錢(qián)包(Phantom Wallet小鬼錢(qián)包)創(chuàng)建與轉(zhuǎn)帳新手教程

  Solana上最主流錢(qián)包是Phantom Wallet，中文有人說(shuō)小鬼錢(qián)包，鬼鬼錢(qián)包、幽靈錢(qián)包等名稱(chēng)也有人用,那么，Phantom Wallet鬼鬼錢(qián)包如何創(chuàng)建和轉(zhuǎn)賬呢？下文將為大家詳解Solana錢(qián)…

  2025-06-04