當(dāng)前位置：主頁(yè) > 區(qū)塊鏈 > 錢(qián)包知識(shí) > Web3避坑指南

Web3 安全入門(mén)避坑指南（錢(qián)包被惡意多簽風(fēng)險(xiǎn)分析）

2025-02-10 13:34:51 | 來(lái)源： | 作者：佚名

本期我們將以 TRON 錢(qián)包為例，講解多簽釣魚(yú)的相關(guān)知識(shí)，包括多簽機(jī)制、黑客的常規(guī)操作及如何避免錢(qián)包被惡意多簽等內(nèi)容

背景

在上一期 Web3 安全入門(mén)避坑指南中，我們主要講解下載/購(gòu)買(mǎi)錢(qián)包時(shí)的風(fēng)險(xiǎn)，找到真官網(wǎng)和驗(yàn)證錢(qián)包真?zhèn)蔚姆椒?，以及私鑰/助記詞的泄露風(fēng)險(xiǎn)。我們常說(shuō) “Not your keys, not your coins”，但也存在即使你有私鑰/助記詞，也無(wú)法控制自己資產(chǎn)的情況，即錢(qián)包被惡意多簽了。結(jié)合我們收集到的 MistTrack 被盜表單，一些用戶的錢(qián)包被惡意多簽后，不明白為什么自己錢(qián)包賬戶里還有余額，卻無(wú)法把資金轉(zhuǎn)出。因此，本期我們將以 TRON 錢(qián)包為例，講解多簽釣魚(yú)的相關(guān)知識(shí)，包括多簽機(jī)制、黑客的常規(guī)操作及如何避免錢(qián)包被惡意多簽等內(nèi)容。

多簽機(jī)制

我們先簡(jiǎn)單解釋下什么是多簽，多簽機(jī)制的本意是為了使得錢(qián)包更安全，允許多個(gè)用戶共同管理和控制同一個(gè)數(shù)字資產(chǎn)錢(qián)包的訪問(wèn)和使用權(quán)限。盡管部分管理者丟失或泄露了私鑰/助記詞，錢(qián)包里的資產(chǎn)也不一定會(huì)受損。

TRON 的多重簽名權(quán)限系統(tǒng)設(shè)計(jì)了三種不同的權(quán)限：Owner、Witness 和 Active，每種權(quán)限都有特定的功能和用途。

Owner 權(quán)限

擁有執(zhí)行所有合約和操作的最高權(quán)限；
只有擁有該權(quán)限才能修改其他權(quán)限，包括添加或移除其他簽名者；
創(chuàng)建新賬戶后，默認(rèn)為賬戶本體擁有該權(quán)限。

Witness 權(quán)限

這個(gè)權(quán)限主要與超級(jí)代表(Super Representatives) 相關(guān)，擁有該權(quán)限的賬戶能夠參與超級(jí)代表的選舉和投票，管理與超級(jí)代表相關(guān)的操作。

Active 權(quán)限

用于日常操作，例如轉(zhuǎn)賬和調(diào)用智能合約。這個(gè)權(quán)限可以由 Owner 權(quán)限設(shè)定和修改，常用于分配給需要執(zhí)行特定任務(wù)的賬戶，它是若干授權(quán)操作（比如 TRX 轉(zhuǎn)賬、質(zhì)押資產(chǎn)）的一個(gè)集合。

上文中提到，新建賬戶時(shí)，該賬戶的地址會(huì)默認(rèn)擁有 Owner 權(quán)限（最高權(quán)限），可以調(diào)整賬戶的權(quán)限結(jié)構(gòu)，選擇將該賬戶的權(quán)限授權(quán)給哪些地址，規(guī)定這些地址所占權(quán)重的大小，以及設(shè)置閾值。閾值是指需要簽名方權(quán)重到達(dá)多少才能執(zhí)行特定操作。在下圖中，閾值設(shè)置為 2，3 個(gè)被授權(quán)地址的權(quán)重都為 1，那么在執(zhí)行特定操作時(shí)，只要有 2 個(gè)簽名方的確認(rèn)，這個(gè)操作就可以生效。

(https://support.tronscan.org/hc/article_attachments/29939335264665)

惡意多簽的過(guò)程

黑客獲取用戶私鑰/助記詞后，如果用戶沒(méi)有使用多簽機(jī)制（即該錢(qián)包賬戶僅由用戶一人控制），黑客便可以將 Owner/Active 權(quán)限也授權(quán)給自己的地址或者將用戶的 Owner/Active 權(quán)限轉(zhuǎn)移給自己，黑客的這兩種操作通常都被大家稱(chēng)為惡意多簽，但其實(shí)這是一個(gè)廣義的說(shuō)法，實(shí)際上，可以根據(jù)用戶是否還擁有 Owner/Active 權(quán)限來(lái)區(qū)分：

利用多簽機(jī)制

下圖中，用戶的 Owner/Active 權(quán)限未被移除，黑客給自己的地址授權(quán)了 Owner/Active 權(quán)限，此時(shí)賬戶由用戶和黑客共同控制（閾值為 2），用戶地址和黑客地址的權(quán)重都為 1。用戶雖然持有私鑰/助記詞，也有 Owner/Active 權(quán)限，但無(wú)法轉(zhuǎn)移自己的資產(chǎn)，因?yàn)橛脩舭l(fā)起轉(zhuǎn)出資產(chǎn)請(qǐng)求時(shí)，需要用戶和黑客的地址都簽名，這個(gè)操作才能正常執(zhí)行。

雖然被多簽的賬戶執(zhí)行轉(zhuǎn)出資產(chǎn)的操作需要多方簽名的確認(rèn)才可以實(shí)現(xiàn)，但是向錢(qián)包賬戶入賬是不需要多方簽名的。如果用戶沒(méi)有定期檢查賬戶權(quán)限情況的習(xí)慣或者近期沒(méi)有轉(zhuǎn)出操作的話，一般不會(huì)發(fā)現(xiàn)自己錢(qián)包賬戶的授權(quán)被更改，那么便持續(xù)受損。如果錢(qián)包內(nèi)的資產(chǎn)不多，黑客可能會(huì)放長(zhǎng)線釣大魚(yú)，等待該賬戶積累了一定數(shù)字資產(chǎn)后，再一次性盜取所有數(shù)字資產(chǎn)。

利用TRON的權(quán)限管理設(shè)計(jì)機(jī)制

還有一種情況是黑客利用 TRON 的權(quán)限管理設(shè)計(jì)機(jī)制，直接將用戶的 Owner/Active 權(quán)限轉(zhuǎn)移給黑客地址（閾值仍為 1），使得用戶失去 Owner/Active 權(quán)限，連“投票權(quán)”都沒(méi)有了。需注意，此處黑客并不是利用多簽機(jī)制使得用戶無(wú)法轉(zhuǎn)移資產(chǎn)，但大家習(xí)慣上稱(chēng)這種情況也為錢(qián)包被惡意多簽。

以上兩種情況造成的結(jié)果是一樣的，無(wú)論用戶是否還擁有 Owner/Active 權(quán)限，都失去了對(duì)該賬戶的實(shí)際控制權(quán)，黑客地址獲得了賬戶的最高權(quán)限，可實(shí)現(xiàn)更改賬戶權(quán)限、轉(zhuǎn)移資產(chǎn)等操作。

惡意多簽的途徑

結(jié)合 MistTrack 收集到的被盜表單，我們總結(jié)出了幾種錢(qián)包被惡意多簽的常見(jiàn)原因，希望用戶遇到以下幾種情況時(shí)，提高警惕：

1. 在下載錢(qián)包時(shí)，未能找到正確的途徑，點(diǎn)擊了電報(bào)、推特、網(wǎng)友發(fā)送的假官網(wǎng)鏈接，下載到假錢(qián)包，結(jié)果私鑰/助記詞泄露，錢(qián)包被惡意多簽。

2. 用戶在一些出售加油卡、禮品卡、VPN 服務(wù)的釣魚(yú)充值網(wǎng)站輸入了私鑰/助記詞，結(jié)果失去自己錢(qián)包賬戶的控制權(quán)。

3. OTC 交易時(shí)，被有心之人拍到私鑰/助記詞或以某手段獲取賬戶的授權(quán)，隨后錢(qián)包被惡意多簽，資產(chǎn)受損。

4. 一些騙子把私鑰/助記詞提供給你，稱(chēng)他無(wú)法提取錢(qián)包賬戶里的資產(chǎn)，如果你能幫忙的話可以給你酬勞。雖然這個(gè)私鑰/助記詞對(duì)應(yīng)的錢(qián)包地址確實(shí)存在資金，但無(wú)論你給多少手續(xù)費(fèi)、手速多快都提不走，因?yàn)樘釒艡?quán)限被騙子配置給了另一個(gè)地址。

5. 還有一種較為少見(jiàn)的情況是用戶在 TRON 上點(diǎn)擊了釣魚(yú)鏈接，簽名了惡意的數(shù)據(jù)，隨后錢(qián)包被惡意多簽。

總結(jié)

在本期指南中，我們主要以 TRON 錢(qián)包為例，講解了多簽機(jī)制、黑客實(shí)施惡意多簽的過(guò)程和套路，希望幫助大家加深對(duì)多簽機(jī)制的理解和提高防范錢(qián)包被惡意多簽的能力。當(dāng)然，除了被惡意多簽的情形之外，還存在一些比較特別的案例，有的新手用戶可能因操作不慎或缺乏了解，誤將錢(qián)包設(shè)置成了多簽，導(dǎo)致需要多個(gè)簽名才能進(jìn)行轉(zhuǎn)賬。此時(shí)，用戶僅需滿足多簽要求或在權(quán)限管理處將 Owner/Active 權(quán)限只授權(quán)給一個(gè)地址，恢復(fù)單簽即可。

最后，慢霧安全團(tuán)隊(duì)建議廣大用戶定期檢查賬戶權(quán)限，查看是否有異常；從官方途徑下載錢(qián)包，我們?cè)赪eb3 安全入門(mén)避坑指南｜假錢(qián)包與私鑰助記詞泄露風(fēng)險(xiǎn)里講過(guò)如何找到正確的官網(wǎng)和驗(yàn)證錢(qián)包的真?zhèn)?；不點(diǎn)擊不明鏈接，更不輕易輸入私鑰/助記詞；安裝殺毒軟件（如卡巴斯基、AVG 等）和釣魚(yú)風(fēng)險(xiǎn)阻斷插件（如 Scam Sniffer），提高設(shè)備安全性。

免責(zé)聲明：本文只為提供市場(chǎng)訊息，所有內(nèi)容及觀點(diǎn)僅供參考，不構(gòu)成投資建議，不代表本站觀點(diǎn)和立場(chǎng)。投資者應(yīng)自行決策與交易，對(duì)投資者交易形成的直接或間接損失，作者及本站將不承擔(dān)任何責(zé)任。！

Tag：Web3 避坑指南多簽

你可能感興趣的文章

幣名
最新價(jià)格
24H漲幅
BTC
比特幣

$ 93862.47￥ 667221.36

-0.61%
ETH
以太坊

$ 3112.22￥ 22123.21

+1.5%
USDT
泰達(dá)幣

$ 0.9991￥ 7.1021

-0.01%
XRP
瑞波幣

$ 2.1981￥ 15.6251

+1.09%
BNB
幣安幣

$ 917.48￥ 6521.9

+0.13%
USDC
USD Coin

$ 1.0006￥ 7.1127

+0.01%
SOL
Solana

$ 134.49￥ 956.02

-1.11%
TRX
波場(chǎng)

$ 0.2955￥ 2.1005

+1.69%
DOGE
狗狗幣

$ 0.1593￥ 1.1323

+1.92%
ADA
艾達(dá)幣

$ 0.4796￥ 3.4092

+0.02%

幣圈快訊

SOL財(cái)庫(kù)公司ForwardIndustries將144.3萬(wàn)枚SOL存入CoinbasePrime
2025-11-18 01:14
據(jù)OnchainLens監(jiān)測(cè)，3小時(shí)前，F(xiàn)orwardIndustries地址向CoinbasePrime存入1,443,507枚SOL，價(jià)值2.0134億美元，尚不確定是否為賣(mài)出。據(jù)悉，F(xiàn)orwardIndustries（納斯達(dá)克代碼：FWDI，前身為FORD）目前是全球最大的SOL（Solana原生代幣）財(cái)庫(kù)公司。根據(jù)其2025年11月15日的最新財(cái)庫(kù)更新，該公司持有約691萬(wàn)枚SOL，占Solana總流通量的超過(guò)1.25%。
ForwardIndustries向CoinbasePrime存入144.35萬(wàn)枚SOL，價(jià)值2.01億美元
2025-11-18 01:06
據(jù)OnchainLens監(jiān)測(cè)，F(xiàn)orwardIndustries于3小時(shí)前向CoinbasePrime存入144.35萬(wàn)枚SOL，價(jià)值2.01億美元。
過(guò)去1小時(shí)Binance凈流入5,404.78萬(wàn)USDT
2025-11-18 00:59
據(jù)Coinglass數(shù)據(jù)顯示，Binance在過(guò)去1小時(shí)內(nèi)凈流入5,404.78萬(wàn)USDT。
白宮正審查境外加密資產(chǎn)稅務(wù)政策，跨境監(jiān)管框架或?qū)⒄{(diào)整
2025-11-18 00:57
據(jù)Decrypt報(bào)道，特朗普政府近期推進(jìn)一項(xiàng)旨在授權(quán)美國(guó)國(guó)稅局獲取公民海外加密賬戶關(guān)鍵信息并實(shí)施征稅的監(jiān)管提案。根據(jù)政府網(wǎng)站公示，財(cái)政部關(guān)于美國(guó)加入國(guó)際加密稅收?qǐng)?bào)告框架的合作提案已于周五提交白宮，總統(tǒng)顧問(wèn)團(tuán)隊(duì)將對(duì)此開(kāi)展審查。今年早些時(shí)候白宮已敦促財(cái)政部與國(guó)稅局制定相關(guān)規(guī)則，推動(dòng)美國(guó)加入由經(jīng)合組織于2022年制定的《加密資產(chǎn)報(bào)告框架》。該多邊協(xié)議要求成員國(guó)自動(dòng)共享公民加密資產(chǎn)信息以打擊跨境逃稅，目前七國(guó)集團(tuán)中日本、德國(guó)、法國(guó)、加拿大、意大利、英國(guó)及阿聯(lián)酋、新加坡、巴哈馬等加密樞紐均已簽署。在今夏發(fā)布的加密政策報(bào)告中，特朗普的加密顧問(wèn)團(tuán)隊(duì)建議美國(guó)加入該框架。白宮當(dāng)時(shí)指出：“實(shí)施CARF將阻止納稅人將數(shù)字資產(chǎn)轉(zhuǎn)移至海外交易平臺(tái)，促進(jìn)美國(guó)數(shù)字資產(chǎn)增長(zhǎng)應(yīng)用，避免因缺乏報(bào)告機(jī)制使美國(guó)處于競(jìng)爭(zhēng)劣勢(shì)?！眻?bào)告要求財(cái)政部與國(guó)稅局研究具體實(shí)施方案，但特別強(qiáng)調(diào)“不應(yīng)針對(duì)DeFi交易設(shè)置新的報(bào)告要求”。根據(jù)規(guī)劃，CARF全球部署將于2027年正式啟動(dòng)。
白宮正在審查擬議的加密資產(chǎn)報(bào)告框架
2025-11-18 00:46
美國(guó)白宮目前正在審查美國(guó)財(cái)政部提交的擬議規(guī)則，該規(guī)則將使美國(guó)加入國(guó)際性的加密資產(chǎn)報(bào)告框架（CARF）。一旦批準(zhǔn)并實(shí)施，該框架將允許美國(guó)國(guó)稅局（IRS）自動(dòng)獲取美國(guó)公民在海外加密貨幣賬戶的交易信息，以打擊國(guó)際稅務(wù)逃避。CARF是由經(jīng)濟(jì)合作與發(fā)展組織（OECD）于2022年創(chuàng)建的全球協(xié)議，旨在通過(guò)成員國(guó)之間的信息自動(dòng)交換，提高加密資產(chǎn)交易的透明度。美國(guó)總統(tǒng)特朗普的顧問(wèn)此前已發(fā)布報(bào)告，建議美國(guó)采納CARF，認(rèn)為這將阻止美國(guó)納稅人將數(shù)字資產(chǎn)轉(zhuǎn)移到海外數(shù)字資產(chǎn)交易所，并促進(jìn)美國(guó)數(shù)字資產(chǎn)市場(chǎng)的發(fā)展。CARF已被包括大多數(shù)G7成員國(guó)和主要加密中心（如新加坡、阿聯(lián)酋）在內(nèi)的數(shù)十個(gè)國(guó)家簽署采納，其全球?qū)嵤┯?jì)劃于2027年開(kāi)始進(jìn)行信息交換。白宮強(qiáng)調(diào)，擬議的CARF規(guī)則不應(yīng)對(duì)去中心化金融（DeFi）交易施加任何新的報(bào)告要求。

欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Web3 安全入門(mén)避坑指南（錢(qián)包被惡意多簽風(fēng)險(xiǎn)分析）

背景