Nền
Trong số trước của hướng dẫn tránh cạm bẫy bảo mật Web3, Chúng tôi chủ yếu giải thích các rủi ro khi tải xuống/mua ví, cách tìm trang web chính thức thực sự và xác minh tính xác thực của ví cũng như rủi ro rò rỉ khóa riêng/cụm từ ghi nhớ. Chúng tôi thường nói "Không phải chìa khóa của bạn, không phải tiền của bạn", nhưng cũng có những trường hợp ngay cả khi bạn có khóa riêng/cụm từ ghi nhớ, bạn cũng không thể kiểm soát tài sản của mình, tức là ví đã bị ký nhiều chữ ký một cách độc hại. Kết hợp với các biểu mẫu bị đánh cắp MistTrack mà chúng tôi đã thu thập, sau khi ví của một số người dùng bị ký nhiều chữ ký một cách ác ý, họ không hiểu tại sao họ vẫn còn số dư trong tài khoản ví nhưng không thể chuyển tiền ra ngoài. Do đó, trong số này, chúng tôi sẽ lấy ví TRON làm ví dụ để giải thích các kiến thức liên quan về lừa đảo đa chữ ký, bao gồm cơ chế đa chữ ký, hoạt động thường xuyên của tin tặc và cách tránh đa chữ ký độc hại trong ví.
Hãy giải thích ngắn gọn đa chữ ký là gì. Mục đích ban đầu của cơ chế đa chữ ký là để làm cho ví an toàn hơn, cho phép nhiều người dùng cùng quản lý và kiểm soát quyền truy cập và sử dụng đối với cùng một ví tài sản kỹ thuật số. Ngay cả khi một số người quản lý bị mất hoặc rò rỉ khóa riêng/cụm từ ghi nhớ, tài sản trong ví không nhất thiết sẽ bị hỏng.
Hệ thống cấp phép đa chữ ký của TRON được thiết kế với ba quyền khác nhau: Chủ sở hữu, Nhân chứng và Hoạt động, mỗi quyền có chức năng và cách sử dụng cụ thể.
Quyền của chủ sở hữu:
Có thẩm quyền cao nhất để thực hiện tất cả các hợp đồng và hoạt động;
Chỉ với quyền này, bạn mới có thể sửa đổi các quyền khác, bao gồm thêm hoặc xóa những người ký khác;
Tạo Sau khi một tài khoản mới được tạo, tài khoản đó sẽ có quyền này theo mặc định.
Quyền của nhân chứng:
Quyền này chủ yếu liên quan đến Siêu đại diện. Các tài khoản có quyền này có thể tham gia bầu cử và bỏ phiếu cho siêu đại diện và quản lý các hoạt động liên quan đến siêu đại diện.
Quyền hoạt động:
Được sử dụng cho các hoạt động hàng ngày, ví dụ: Chuyển tiền và gọi hợp đồng thông minh. Quyền này có thể được thiết lập và sửa đổi bởi sự cho phép của Chủ sở hữu. Nó thường được gán cho các tài khoản cần thực hiện các nhiệm vụ cụ thể. Nó là tập hợp một số hoạt động được ủy quyền (chẳng hạn như chuyển nhượng TRX, tài sản cầm cố).
Như đã đề cập ở trên, khi tạo tài khoản mới, địa chỉ tài khoản sẽ có quyền Owner (quyền cao nhất) theo mặc định. Bạn có thể điều chỉnh cấu trúc quyền. của tài khoản và chọn Địa chỉ nào được ủy quyền cho tài khoản, trọng lượng của các địa chỉ này được chỉ định và ngưỡng được đặt. Ngưỡng đề cập đến trọng lượng người ký cần thiết để thực hiện một thao tác cụ thể. Trong hình bên dưới, ngưỡng được đặt thành 2 và trọng số của ba địa chỉ được ủy quyền đều là 1. Khi thực hiện một thao tác cụ thể, thao tác đó có thể có hiệu lực miễn là có xác nhận từ 2 người ký.
(https://support.tronscan.org/hc/article_attachments/29939335264665)
Sau khi hacker lấy được khóa riêng/cụm từ ghi nhớ của người dùng, nếu người dùng không sử dụng cơ chế đa chữ ký (tức là tài khoản ví chỉ được do người dùng kiểm soát), hacker có thể cấp quyền Chủ sở hữu/Hoạt động cho địa chỉ của chính mình hoặc quyền Chủ sở hữu/Hoạt động của người dùng có thể được chuyển cho chính họ. Trên thực tế, đây là một thuật ngữ rộng. Nó có thể được phân biệt dựa trên việc người dùng có quyền Chủ sở hữu/Hoạt động hay không:
Sử dụng đa chữ ký. cơ chế
Trong hình bên dưới, quyền Chủ sở hữu/Hoạt động của người dùng chưa bị xóa. Tin tặc đã cấp quyền Chủ sở hữu/Hoạt động cho riêng mình. Tại thời điểm này, tài khoản được người dùng và hacker cùng kiểm soát (ngưỡng là 2). Cả địa chỉ người dùng và địa chỉ hacker đều có trọng số là 1. Mặc dù người dùng giữ khóa riêng/cụm từ ghi nhớ và có quyền Chủ sở hữu/Hoạt động, nhưng anh ta không thể chuyển tài sản của chính mình vì khi người dùng bắt đầu yêu cầu chuyển tài sản, cả địa chỉ của người dùng và của hacker đều phải ký trước khi thao tác này có thể được thực hiện. được thực hiện bình thường.
Mặc dù hoạt động chuyển tài sản từ tài khoản nhiều chữ ký yêu cầu xác nhận chữ ký của nhiều bên, nhưng không cần phải có chữ ký của nhiều bên để gửi tiền vào tài khoản ví. Nếu người dùng không có thói quen thường xuyên kiểm tra quyền tài khoản hoặc gần đây không thực hiện bất kỳ thao tác chuyển khoản nào, thì nhìn chung, người dùng sẽ không phát hiện ra rằng ủy quyền tài khoản ví của mình đã bị thay đổi và họ sẽ tiếp tục bị thiệt hại. Nếu không có nhiều tài sản trong ví, tin tặc có thể thực hiện một cách tiếp cận lâu dài và đợi tài khoản tích lũy một lượng tài sản kỹ thuật số nhất định trước khi đánh cắp tất cả tài sản kỹ thuật số cùng một lúc.
Sử dụng cơ chế thiết kế quản lý quyền của TRON
Một tình huống khác là tin tặc sử dụng cơ chế thiết kế quản lý quyền của TRON để chuyển trực tiếp Quyền Chủ sở hữu/Hoạt động của người dùng sang địa chỉ hacker (ngưỡng vẫn là 1), khiến người dùng mất Quyền Chủ sở hữu/Hoạt động và thậm chí cả "quyền biểu quyết" . Cần lưu ý rằng hacker ở đây không sử dụng cơ chế đa chữ ký để ngăn chặn người dùng chuyển tài sản mà theo thông lệ, người ta gọi tình huống này là tình trạng đa chữ ký độc hại của ví.
Kết quả của hai tình huống trên là như nhau. Bất kể người dùng có còn quyền Chủ sở hữu/Hoạt động hay không, người đó đã mất quyền kiểm soát thực sự đối với tài khoản. Địa chỉ hacker đã có được quyền hạn cao nhất của tài khoản và có thể thay đổi quyền tài khoản. Chuyển tài sản và các hoạt động khác.
Được thu thập kết hợp với MistTrack Chúng tôi đã tóm tắt một số lý do phổ biến khiến ví có nhiều chữ ký độc hại. Chúng tôi hy vọng người dùng sẽ cảnh giác hơn khi gặp phải các tình huống sau:
1. Khi tải xuống. ví, tôi không tìm được cách chính xác. Tôi đã nhấp vào liên kết trang web chính thức giả mạo được gửi bởi Telegram, Twitter và cư dân mạng và tải xuống ví giả. Kết quả là khóa riêng/cụm từ ghi nhớ đã bị rò rỉ và ví đã bị rò rỉ. nhiều chữ ký độc hại.
2. Người dùng đã nhập khóa riêng/cụm từ ghi nhớ của họ vào một số trang web nạp tiền lừa đảo bán thẻ xăng, thẻ quà tặng và dịch vụ VPN và kết quả là mất quyền kiểm soát tài khoản ví của họ.
3. Trong các giao dịch OTC, khóa riêng/cụm từ ghi nhớ bị một người cố ý chụp ảnh hoặc có được sự ủy quyền của tài khoản bằng một số phương tiện. Sau đó, ví bị ký nhiều chữ ký một cách độc hại và tài sản bị hư hỏng.
4. Một số kẻ lừa đảo cung cấp cho bạn khóa riêng/cụm từ ghi nhớ, nói rằng họ không thể rút tài sản trong tài khoản ví và có thể trả tiền cho bạn nếu bạn có thể giúp đỡ. Mặc dù thực sự có tiền trong địa chỉ ví tương ứng với khóa riêng/cụm từ ghi nhớ, cho dù bạn có trả bao nhiêu phí xử lý hay tốc độ di chuyển nhanh như thế nào, bạn cũng không thể rút số tiền đó vì kẻ lừa đảo đã gán quyền rút tiền cho một địa chỉ khác.
5. Cũng có một trường hợp hiếm gặp khi người dùng nhấp vào liên kết lừa đảo trên TRON và ký dữ liệu độc hại, sau đó ví bị ký nhiều chữ ký độc hại.
Trong hướng dẫn này, chúng tôi chủ yếu lấy ví TRON làm ví dụ và giải thích rất nhiều Cơ chế chữ ký, quy trình và thói quen được tin tặc sử dụng để thực hiện nhiều chữ ký độc hại, tôi hy vọng sẽ giúp mọi người hiểu sâu hơn về cơ chế đa chữ ký và cải thiện khả năng ngăn chặn ví khỏi bị đa chữ ký độc hại. Tất nhiên, ngoài những trường hợp đa chữ ký độc hại, cũng có một số trường hợp đặc biệt. Một số người dùng mới làm quen có thể đặt nhầm ví của mình thành đa chữ ký do bất cẩn hoặc thiếu hiểu biết, dẫn đến cần phải có nhiều chữ ký để thực hiện chuyển tiền. . Lúc này, người dùng chỉ cần đáp ứng yêu cầu đa chữ ký hoặc ủy quyền Chủ sở hữu/Hoạt động chỉ một địa chỉ trong bộ phận quản lý quyền và khôi phục chữ ký đơn.
Cuối cùng, nhóm bảo mật SlowMist khuyến nghị người dùng thường xuyên kiểm tra quyền tài khoản của mình để xem có bất kỳ điều bất thường nào không; tải xuống ví từ các kênh chính thức, chúng tôi có trong Hướng dẫn phòng tránh khi bắt đầu bảo mật Web3 | Ví giả và rủi ro của rò rỉ tính năng ghi nhớ khóa riêng Tôi đã nói về cách tìm đúng trang web chính thức và xác minh tính xác thực của ví; không nhấp vào các liên kết không xác định, chứ đừng nói đến việc nhập khóa riêng tư/ghi nhớ một cách dễ dàng, cài đặt phần mềm chống vi-rút (chẳng hạn như Kaspersky, AVG, v.v.) và các plug-in chặn rủi ro lừa đảo (chẳng hạn như Scam Sniffer) để cải thiện bảo mật thiết bị.
VeVe sẽ phát hành bộ sưu tập truyện tranh kỹ thuật số mới tuyệt đẹp có tựa đề "Star Wars: Return of the Jedi #1" vào lúc 8 giờ sáng theo giờ Thái Bình Dương ngày 15 tháng 12. Bộ sưu tập này kỷ niệm 40 năm bộ phim mang tính biểu tượng và mang đến cho người hâm mộ một cách độc đáo để sở hữu và trải nghiệm một phần lịch sử của Star Wars.
JoyViệc xóa ví Tiện ích mở rộng iOS và Chrome khỏi thị trường được lên kế hoạch vào ngày 1 tháng 11 năm 2023, mặc dù khách hàng vẫn có thể truy cập ví của họ cho đến ngày 1 tháng 10.
Coinlive Tính năng nhắn tin sẽ hỗ trợ 1,3 triệu địa chỉ Ethereum sử dụng ví mà con người có thể đọc được và/hoặc hỗ trợ ENS.
nftnowRebecca Rettig, muốn ngành này rõ ràng hơn và coi đó là chìa khóa để tiếp cận các nhà lập pháp.
TheBlockSau vụ hack NFT nổi tiếng mới nhất, lần này là hạ gục doanh nhân công nghệ Kevin Rose, các lợi thế bảo mật của ví tự quản đã lại xuất hiện trên Crypto Twitter.
decryptTheo Axios, nhóm đằng sau ví tiền điện tử của công ty đã bị ảnh hưởng nặng nề.
OthersTheo thông tin chi tiết từ một chuỗi tweet của Coinbase, người dùng iOS sẽ không thể gửi NFT từ ví của họ trên thiết bị iOS nữa.
OthersNhóm phát triển của Cardano, Input Output đã tạo ra một ví nhẹ mới có tên là Lace. Chiếc ví mới này đi kèm với...
BitcoinistWallet.app đang khởi chạy giai đoạn tiếp theo trong nền tảng lưu ký, trao đổi và thanh toán tiền điện tử tuân thủ đầy đủ có trụ sở tại Liên minh châu Âu sẽ ...
BitcoinistCoinbase đang nhanh chóng mở rộng dòng sản phẩm của mình trong tháng này và một số người dùng hiện có thể truy cập DeFi và các DApp khác trên Ethereum thông qua ứng dụng Coinbase.
Cointelegraph