比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

安全警示|TRX 多重簽名騙局_TRX

Author:

Time:1900/1/1 0:00:00

近期,TRX多重簽名騙局異常猖獗,騙子通過誘導用戶下載假imToken等方式獲取用戶的助記詞,但是卻不直接將用戶的資產盜走,而是通過修改用戶的TRX錢包賬戶權限,導致用戶失去對賬戶內資產的控制權,只能將代幣轉入錢包,卻無法轉出。

本文將揭秘TRX多重簽名騙局具體是如何實施的,以及我們該如何防范這類騙局。

什么是TRX多重簽名騙局

當我們創建了一個TRX錢包后,這個錢包賬戶默認的擁有者權限為賬戶本人,閾值為1,即錢包轉賬需持有一個擁有者權限的地址進行簽名授權才能發起。

安全團隊:DeFi 借貸協議 Sentiment 大部分被盜資金仍在攻擊者地址:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,2023年4月5日,

DeFi借貸協議sentiment協議遭到攻擊,損失約1百萬美元,Beosin Trace追蹤發現已有0.5WBTC、30個WETH、538,399USDC和360,000USDT被盜,目前,大部分被盜資金還在攻擊者地址。其攻擊的原因在于重入導致的價格錯誤。

攻擊交易:https://arbiscan.io/tx/0xa9ff2b587e2741575daf893864710a5cbb44bb64ccdc487a100fa20741e0f74d

Beosin安全團隊現將分析結果分享如下:

1.攻擊者首先調用Balancer Vault的“joinPool”函數進行質押。

2.然后再調用“exitPool”取回質押,在這個過程中,Balancer Vault會向攻擊者發送eth從而調用攻擊合約的fallback函數。在該函數中,攻擊者調用0x62c5合約的borrow函數,該過程需要根據Balancer Vault.getPoolTokens()的返回數據進行價格計算。而當前正在攻擊者的\"exitPool\"過程中,pool中總供應量已經減少而數據還沒有更新,攻擊者利用這個數據錯誤從而多借出資產達成獲利。

攻擊者收到消息,如果在4月6日8點(UTC)前歸還資產,會獲得95000美元獎勵,并不會被追究。[2023/4/5 13:45:50]

注:擁有者權限是指一個TRX賬戶的最高權限,具有該權限的地址可進行該賬戶內的所有操作。

安全團隊:Inkwork Labs 項目Discord服務器遭到攻擊:金色財經消息,據CertiK監測,Inkwork Labs 項目Discord服務器遭到攻擊。請社區用戶在服務器修復之前不要點擊任何鏈接或聲明消息。[2023/1/5 10:23:18]

而當騙子獲取了用戶助記詞,對其TRX賬戶權限進行修改后,用戶地址的擁有者權限變為用戶本人和騙子共同持有,閾值為2,即錢包轉賬需要兩個擁有者權限的地址——用戶的地址和騙子的地址,共同簽名授權才能發起。

公告 | Cryptopia:已將24%的錢包轉移至新的安全服務器上:據Cryptopia官方消息,Cryptopia已經將24%的錢包轉移到新的安全服務器上。一旦只讀網站上線,將通過代幣信息頁面向用戶提供已被檢查的安全錢包信息。2月28日消息,Cryptopia曾發推文稱,其目標是在周一之前以只讀方式重新打開網站。[2019/3/1]

由于此時TRX錢包的轉賬需要多重簽名才能完成,所以這類騙局被成為TRX多重簽名騙局。

這就意味著,當用戶的TRX賬戶被騙子更改為需多重簽名的地址后,用戶發起的任何交易,都需要騙子的簽名授權才能完成,如果只是用戶單方面發起交易,就會遇到類似「server:SIGERROR」的報錯。

你可能會疑惑,為什么用戶擁有自己賬戶的助記詞/私鑰,也無法「獨立完成」資產的轉出操作。

以合伙開公司的例子解釋一下,你就明白了。假設有一家公司有兩個合伙人,他們在這家公司成立之初規定:所有的重大決策要兩個合作人都同意進行簽名授權,即多重簽名,才可以執行。若有一方不同意,決策則不通過。

被騙子修改為多重簽名的TRX賬戶就像是這樣一家公司,即便用戶持有錢包助記詞,但也已經無法「獨立完成」對這個錢包的轉賬等重大操作。

用戶只能將資產轉入這個賬戶,卻無法轉出,騙子就是利用這一點從而「放長線釣大魚」,等到用戶在賬戶中積累了足夠的資產后再一次性盜走。如果一個用戶從來都是只收款不轉賬,且不去鏈上查看自己的賬戶權限,那他可能會一直蒙在鼓里并持續地向這個賬戶轉錢。

另外,騙子除了通過誘導用戶下載假imToken方式外,還會通過以下兩類方式利用多重簽名詐騙:

在Telegram等社交平臺推廣充值網站,誘導用戶使用數字資產進行充值,實際上是趁用戶充值時獲取賬戶的擁有者權限,導致用戶失去對賬戶的控制權;在Telegram、微信等社交平臺公開自己的助記詞/私鑰,誘導用戶轉入TRX作為手續費以轉走錢包內的資產,但實際騙子早已將擁有者權限轉移,最終導致用戶損失TRX。安全提醒

imToken安全團隊在此提醒大家

下載imToken請認準官網:https://token.im/天下不會有免費的午餐,切莫貪小便宜定期檢查TRX錢包賬戶權限如何查詢賬戶權限

1.打開TRX錢包,切換至「瀏覽」頁面輸入TRONSCAN并打開。

2.在輸入框輸入錢包地址并搜索,跳至賬戶信息頁面并下滑至「賬戶權限」板塊。

3.如圖所示,如果有且只有你的地址持有擁有者權限,說明你的賬戶權限是安全的。

Tags:TRXTOKTOKETOKENSTRX價格Blue Whale TokenRI TokenMCO Token

火幣交易所
Weekly Brief:ZK-KYC合規方向的有力競爭者_DEFI

金融市場體量龐大,但鏈上市場的安全與信任基礎設施仍未準備好。鏈上DApp的KYC賽道正在擴展,KYC對于傳統機構大規模的資金來說,是其安全、順利地進入Crypto領域的必經之路,通過KYC的機構.

1900/1/1 0:00:00
PIAS LockDrop: Stake To Share a 2,500,000 PIAS Prize Pool!

PIAS(PIAS)willbeavailableonKuCoinfrom10:00:00onNovember24.

1900/1/1 0:00:00
Tether或Binance的失敗可能標志著加密貨幣的終結_ETHE

gz呺Web3團子 為了消除全球投資者對狗狗幣創始人的擔憂,ShibetoshiNakamoto認為,加密貨幣交易所Binance或穩定幣發行人Tether的崩潰可能會徹底撼動整個市場.

1900/1/1 0:00:00
關於進行Tron網絡(TRX)錢包維護的公告 - 2022-11-24_NODE

親愛的用戶: 幣安將於2022年11月24日14:30對Tron網絡錢包進行維護,預計需要1小時.

1900/1/1 0:00:00
比特幣牛市何時到來?你還能堅持住嗎!_比特幣

萬事幾乎都是周期性的 我能確定的事情很少,但可以確定這幾件事:周期最終總是占上風沒有什么會永遠朝著一個方向前進.

1900/1/1 0:00:00
Announcement of the Adjustment Tick Size for RED/USDT Trading Pair_ING

Inordertoincreasemarketliquidityandimprovethetradingexperience.

1900/1/1 0:00:00
ads