Оскільки технологія блокчейну все більше поширюється, безпека цифрових активів стає дедалі критичнішою. Тому механізм мультипідпису є заходом безпеки, який привертає увагу користувачів і активно застосовується. За допомогою цієї системи гаманець можуть контролювати кілька користувачів, а для завершення транзакції потрібно кілька підписів. Це можна порівняти із сейфом, для відкриття якого потрібно кілька ключів — доступ до сейфа можна отримати, лише коли всі власники ключів співпрацюють.
У гаманцях TRON застосовуються транзакції з мультипідписом, щоб захистити активи користувачів. Однак продукт неминуче стає об’єктом шахрайства, оскільки зловмисники шукають вразливі місця, щоб викрасти кошти. У цій статті ми докладно розглянемо застосування мультипідпису в гаманцях TRON і способи захисту від потенційного шахрайства.
TL; DR
Хоча для надійного захисту активів у гаманцях екосистеми TRON використовуються мультипідписи, зловмисники знайшли способи маніпулювати технологією для здійснення шахрайства.
Гаманці з мультипідписом можна запрограмувати так, щоб для завершення транзакцій потрібно було ввести кілька приватних ключів. Це додає ще один рівень захисту.
Гаманці з мультипідписом є альтернативою гаманцям з одним підписом, які дають змогу здійснювати транзакції за допомогою одного приватного ключа.
Один із поширених видів шахрайства з мультипідписом TRON полягає в тому, що зловмисники переконують жертв поділитися токенами TRX, заявляючи нібито TRX потрібні їм для оплати комісій за транзакції. Інший вид шахрайства полягає в тому, що жертв обманом змушують поділитися приватними ключами або seed-фразами, а потім змінюють механізм підпису, щоб зловмисно отримати контроль над активами.
Ви можете запобігти шахрайству з мультипідписом у гаманці TRON, захистивши приватні ключі, не натискаючи підозрілі посилання, часто перевіряючи дозволи акаунта для неавторизованих адрес і завантажуючи програмне забезпечення гаманця лише з офіційних джерел.
Відмінність між гаманцями з одним підписом і гаманцями з мультипідписом
У криптовалютних мережах стандартні транзакції називаються транзакціями з одним підписом, оскільки вони потребують лише одного підпису в гаманці. Гаманці з одним підписом також потребують лише одного приватного ключа для авторизації транзакцій, що робить їх зручними для окремих користувачів або ситуацій, оскільки не потрібне складне керування дозволами.
Натомість блокчейни на зразок TRON підтримують механізми мультипідпису. Гаманець із мультипідписом дає змогу керувати акаунтом за допомогою кількох приватних ключів, а для виконання транзакцій потрібно кілька підписів приватним ключем. У налаштуваннях мультипідпису кожному підписанту надається «вага», яка вказує на його важливість у процесі транзакції. Загальна вага підписів має досягати заздалегідь визначеного порогу авторизації транзакції. Наприклад, якщо порогове значення становить два, то потрібен або один підписант із вагою два, або кілька підписантів із сумарною вагою два чи більше. Кількість необхідних підписів залежить від порогу та налаштовується відповідно до конкретних вимог.
Ситуації з мультипідписом TRON
До налаштування мультипідпису можуть призвести наведені нижче дії користувача.
1. Користувач сам ініціює налаштування мультипідпису
Деякі користувачі можуть випадково ввімкнути мультипідпис, коли вивчають функцій гаманця. Під час переказу активів вони виявляють, що для підписання та підтвердження транзакції потрібні принаймні дві адреси гаманця. Тож транзакцію не вдається здійснити.
Рішення. Ця проблема виникає через помилку користувача. Активи залишаються в безпеці, і користувачам потрібно лише виконувати вимоги мультипідпису або вимкнути його, щоб здійснювати транзакції з одним підписом.
2. Імпорт приватних ключів або seed-фраз з Інтернету
Користувачі можуть імпортувати приватні ключі або seed-фрази з онлайн-джерел, не знаючи, що в цих гаманцях уже налаштовано мультипідпис. Під час спроби переказати активи вони виявляють, що гаманець вимагає кілька підписів.
Рішення. Не імпортуйте приватні ключі або seed-фрази з ненадійних джерел. Переконайтеся, що джерело приватних ключів і seed-фраз є надійним.
3. Витік приватних ключів або seed-фраз до шахраїв
Користувачі несвідомо розкривають свої приватні ключі або seed-фрази шахраям, які потім налаштовують у гаманці мультипідпис, що не дозволяє користувачеві самостійно переказувати активи.
Рішення. Ніколи нікому не повідомляйте свої приватні ключі або seed-фрази, навіть якщо хтось видає себе за службу технічної підтримки чи друга. Зберігайте ці дані в безпечному місці, доступ до якого маєте лише ви.
4. Натискання шкідливих сторонніх посилань
Користувачі натискають фішинг-посилання, що призводить до зміни дозволів гаманця. Шахраї створюють вебсайти, які пропонують подарункові картки зі знижками або поповненнями, спонукаючи користувачів переходити за посиланнями та робити покупки. Ці сайти виконують код для зловмисного підвищення дозволів. Щойно користувач вводить свій пароль для підтвердження транзакції, дозволи його гаманця змінюються, надаючи шахраям контроль через мультипідпис.
Рішення. Не натискайте посилання з невідомих джерел. Регулярно перевіряйте дозволи акаунтів гаманця, щоб переконатися, що не додано неавторизовані акаунти з мультипідписом.
Поширені види шахрайства з мультипідписом
Для здійснення шахрайства з мультипідписом злочинці використовують різноманітні тактики, про які вам потрібно знати.
1. Шахрайство з наданням приватного ключа або seed-фрази
Шахраї діляться приватними ключами або seed-фразами гаманців з активами, стверджуючи, що їм не вистачає TRX (токена мережі TRON) для оплати комісій за транзакції, тому їм потрібна допомога. Користувачі надсилають у гаманець TRX для оплати комісій за транзакції, але виявляють, що не можуть переказати активи з гаманця.
Приклад. Нещодавно деякі користувачі X і Telegram отримали такі запити від шахраїв: «У мене в гаманці 100–1000 USDT, але недостатньо TRX для оплати комісій за транзакції. Ось адреса мого гаманця, приватний ключ і seed-фраза. Якщо ви допоможете мені з переказом, я винагороджу вас кількома сотнями USDT з гаманця». Користувач відповідає, думаючи, що власник гаманця є новим користувачем, і пропонує допомогу. Після імпорту приватного ключа або seed-фрази він бачить баланс, але не може його переказати. Потім шахрай просить надати TRX для комісій за транзакції, але навіть після надсилання TRX усе одно не вдається здійснити переказ, оскільки із самого початку в гаманці ввімкнено мультипідпис і користувач не має повної авторизації для переказу активів із гаманця.
2. Шахрайство з витоком приватного ключа або seed-фрази
Шахраї отримують приватні ключі або seed-фрази користувачів і змінюють механізм підписання без їх згоди. Коли користувачі намагаються переказати активи, вони виявляють, що гаманець вимагає кілька підписів, а шахрай може переказувати активи.
Приклад. Коли шахраї отримують seed-фразу або приватний ключ користувача, вони можуть змінити дозволи акаунта так, щоб гаманець спільно контролювався адресами користувача та шахрая. Шахрай установлює порогове значення три, надаючи своїй адресі вагу два, а адресі користувача — один. Користувач не може виконати жодну транзакцію самостійно, оскільки вага його адреси недостатня. Однак шахрай, маючи більшу вагу, може вивести активи з гаманця. Користувачі можуть не помічати цього, поки не спробують скористатися гаманцем, але на той час їхні активи вже можуть бути викрадені.
Як визначити гаманець TRON із мультипідписом
За допомогою переглядача блоків TRON: введіть адресу гаманця в рядок пошуку та перевірте, чи авторизовано «Дозвіл власника» або «Активний дозвіл» для двох або кількох акаунтів.
2. Перевіривши дозволи акаунтів: перегляньте налаштування дозволів акаунтів у додатку гаманця TRON.
Як запобігти шахрайству з мультипідписом
Захистіть приватні ключі та seed-фрази: ніколи нікому не повідомляйте цю конфіденційну інформацію.
Не натискайте підозрілі посилання: не натискайте посилання з невідомих джерел, особливо ті, які замасковано під посилання на транзакцію чи авторизацію.
Регулярно перевіряйте дозволи акаунтів: переконайтеся, що до вашого акаунта з мультипідписом не додано неавторизовані адреси. Деактивуйте всі гаманці, викрадені за допомогою стороннього мультипідпису.
Використовуйте лише офіційні канали: завантажуйте програмне забезпечення гаманця з офіційних джерел і не використовуйте програмне забезпечення невідомого походження.
Висновок
Механізм мультипідпису є ефективним заходом безпеки, але важливо бути уважними до ризиків і захищати свої приватні ключі та seed-фрази. Розуміння механізму мультипідпису та поширених видів шахрайства допоможе захистити цифрові активи та не потрапити в пастки. Працюймо разом, щоб захистити наші цифрові активи, залишатися пильними та підвищувати безпеку світу криптовалют.
© OKX, 2024. Цю статтю можна відтворювати або поширювати повністю або в цитатах обсягом до 100 слів за умови некомерційного використання. Під час відтворення або поширення всієї статті потрібно чітко вказати: «Стаття використовується з дозволу власника авторських прав © OKX, 2024». Цитати мають наводитися з посиланням на назву й авторство статті, наприклад: «Назва статті, [ім’я автора, якщо є], © OKX, 2024». Використання статті в похідних та інших роботах не допускається.