背景

在Web3安全指南的上一篇中，我們討論了下載或購買錢包的風險，如何找到官方網站，驗證錢包真實性的方法，以及私鑰/種子短語洩漏的危險。短語“不是你的密鑰，就不是你的幣”強調了控制私鑰的重要性。然而，有些情況下，即使擁有私鑰或種子短語也不能保證對資產的控制，例如當錢包被惡意多簽設定所入侵時。

根據MistTrack被盜資金報告收集的數據，一些用戶發現他們的錢包中有資金，但由於惡意多簽配置，他們無法轉移這些資金。在本指南中，我們以TRON錢包為例，解釋多簽釣魚的概念、多簽系統的機制、黑客常用的策略以及防止您的錢包被惡意配置多簽設置的策略。

多重簽名機制

多重簽名（multisig）機制旨在通過允許多個用戶集體管理和控制對數位資產錢包的訪問來增強錢包的安全性。這種設置意味著即使一些經理丟失或洩露了他們的私鑰/種子短語，錢包中的資產也可能保持安全。

TRON的多重簽名系統包括三個不同的權限級別：擁有者、證人和活動者，每個級別都有特定的功能和目的。

擁有者權限：

• 擁有最高權限，能夠執行所有合約和操作。

• 只有擁有者才能修改其他權限，包括添加或移除簽署者。

• 當創建新帳戶時，該帳戶本身默認分配所有者權限。

Witness權限:

• 主要與超級代表相關，此權限允許帳戶參與超級代表的選舉和投票過程，以及管理與它們相關的操作。

活動權限：

• 用於日常操作，如轉帳和智能合約執行。擁有者可以設置和修改這些權限，通常將其指定給需要執行特定任務的帳戶。活動權限涵蓋一系列授權操作，如TRX轉帳和資產抵押。

正如前面提到的，新帳戶的地址預設自動獲得擁有者權限（最高級別）。然後擁有者可以調整帳戶的權限結構，決定哪些地址獲得權限，這些權限的權重，以及設置閾值。閾值確定執行特定操作所需的簽名權重。例如，如果閾值設為2，並且三個授權地址中每個的權重為1，那麼至少必須有兩個簽署者批准該操作才能繼續進行。

惡意多簽名的過程

當黑客獲得用戶的私鑰或種子短語，且用戶未實施多重簽名機制（意味著錢包完全由用戶控制），黑客可以授予自己擁有者/活躍權限，或將用戶的擁有者/活躍權限轉移到自己的地址上。這些行為通常被稱為惡意多重簽名，但此術語可以廣義定義。實際上，情況可以根據用戶是否仍保留任何擁有者/活躍權限來進行分類：

利用多重簽名機制

在下面描述的情境中，用户的所有者/活跃权限未被移除；相反，黑客已经将自己的地址添加为授权的所有者/活跃方。该账户现在由用户和黑客共同控制，阈值设置为2。无论用户拥有私钥/种子短语并保留所有者/活跃权限，他们都无法转移资产。这是因为任何转移资产的请求都需要用户和黑客的批准，因为双方的签名都是操作必需的。

從多簽錢包轉移資產的過程需要多個簽名，但存入錢包的資金則不需要。如果用戶不定期檢查其賬戶權限或最近沒有進行任何轉賬，他們可能不會注意到錢包權限的變化，從而導致長時間的損失。如果錢包中只包含少量資產，黑客可能會等待賬戶累積更多資產，然後一次性偷走所有資產。

利用TRON的權限管理系統

在另一種情況下，黑客通過直接將用戶的Owner/Active權限轉移到黑客的地址上來利用TRON的權限管理系統，閾值仍設置為1。這個操作剝奪了用戶的Owner/Active權限，有效地使其對賬戶失去了控制，包括“投票權”。雖然這不是一個技術上的惡意多簽的案例，但通常被稱為這樣。

在這兩種情況下，無論用戶是否保留任何擁有者/活動權限，他們都失去了對帳戶的實際控制。現在擁有最高權限的駭客可以更改帳戶設置並轉移資產，使合法所有者無法管理他們的錢包。

惡意多簽名攻擊的方法

根據從MistTrack的被盜資金報告中收集的數據，我們識別出了幾種常見的惡意多簽攻擊的原因。用戶應在以下情況下保持警惕：

1. 下載假錢包：用戶可能會通過點擊通過 Telegram、Twitter 或其他來源發送的欺詐網站的鏈接來下載假錢包。這可能導致私鑰或種子短語的泄漏，從而導致惡意多簽名攻擊。

2. 在仿冒網站上輸入私鑰：在提供燃油卡、禮品卡或VPN等服務的仿冒網站上輸入私鑰或種子短語的用戶可能會失去對他們的錢包的控制。

3. OTC交易：在OTC（場外交易）交易期間，有人可能會截取或以其他方式獲取用戶的私鑰或權限，從而導致惡意多重簽名攻擊。

4. 涉及私鑰的詐騙：騙子可能會提供私鑰，聲稱無法提取資產並提供獎勵以尋求協助。儘管相關的錢包看起來有資金，但提款權限已配置到另一個地址，防止任何轉移。

1. 在TRON上的釣魚連結：用戶可能會點擊TRON上的釣魚連結，並簽署惡意數據，導致惡意多重簽名設置。

結論

在本指南中，我們以TRON錢包為例，解釋了多簽機制、黑客進行惡意多簽攻擊的方法以及常用的策略。這些信息旨在增強對惡意多簽攻擊的理解和預防。此外，一些用戶，特別是初學者，可能會意外地將他們的錢包配置為多簽，需要多個簽名進行轉賬。在這種情況下，用戶需要滿足多簽要求，或者通過將Owner/Active權限僅分配給一個地址來恢復單個簽名。

免責聲明：

1. 本文轉載自 []. 所有版權歸原作者所有 [**]. 如果有對此轉載的異議，請聯繫Gate 學習團隊會迅速處理。
2. 免責聲明：本文所表達的觀點和意見僅屬作者個人觀點，並不構成任何投資建議。
3. 文章的翻譯工作由 Gate Learn 團隊完成。未經許可，禁止複製、分發或抄襲翻譯後的文章。