Leitfaden „Erste Schritte' mit Web3 Security zur Vermeidung von Fallstricken: Risiken, dass Wallets in böswilliger Absicht mehrfach signiert werden

Hintergrund

In der letzten Ausgabe des Web3 Security Getting Started Pitfall Guide haben wir hauptsächlich die Risiken beim Herunterladen/Kauf von Wallets erklärt, wie man die echte offizielle Website findet und die Echtheit des Wallets überprüft und das Risiko, dass private Schlüssel verloren gehen/ mnemonische Phrasen. Wir sagen oft: „Nicht Ihre Schlüssel, nicht Ihre Münzen“, aber es gibt auch Situationen, in denen Sie Ihr Vermögen nicht kontrollieren können, selbst wenn Sie über den privaten Schlüssel/die mnemonische Phrase verfügen, d. h. die Brieftasche wurde in böswilliger Absicht mehrfach signiert. In Kombination mit den von uns gesammelten gestohlenen MistTrack-Formularen verstanden die Wallets einiger Benutzer, nachdem sie in böswilliger Absicht mehrfach signiert worden waren, nicht, warum sie noch Guthaben auf ihren Wallet-Konten hatten, aber kein Geld überweisen konnten. Daher werden wir in dieser Ausgabe das TRON-Wallet als Beispiel nehmen, um das relevante Wissen über Multi-Signatur-Phishing zu erläutern, einschließlich des Multi-Signatur-Mechanismus, der regelmäßigen Operationen von Hackern und der Vermeidung böswilliger Multi-Signaturen im Wallet.

Multi-Signatur-Mechanismus

Lassen Sie uns kurz erklären, was Multi-Signatur ist. Die ursprüngliche Absicht des Multi-Signatur-Mechanismus besteht darin, das Wallet sicherer zu machen und mehreren Benutzern die gemeinsame Verwaltung und Kontrolle der Zugriffs- und Nutzungsrechte zu ermöglichen derselben digitalen Asset-Wallet. Selbst wenn einige Manager private Schlüssel/Mnemonikphrasen verlieren oder durchsickern lassen, werden die Vermögenswerte im Wallet nicht unbedingt beschädigt.

TRONs Multi-Signatur-Berechtigungssystem ist mit drei verschiedenen Berechtigungen ausgestattet: Eigentümer, Zeuge und Aktiv, jeweils mit spezifischen Funktionen und Verwendungszwecken.

Besitzerberechtigungen:

• Hat die höchste Autorität zum Ausführen aller Verträge und Vorgänge.
• Nur mit dieser Berechtigung können andere Berechtigungen geändert werden, einschließlich des Hinzufügens oder Entfernens anderer Unterzeichner.
• Nach dem Erstellen eines neuen Kontos wird es Eigentümer vom Konto selbst standardmäßig diese Berechtigung.

Zeugenberechtigungen:

Diese Berechtigung bezieht sich hauptsächlich auf Supervertreter. Konten mit dieser Berechtigung können an der Wahl und Abstimmung von Supervertretern teilnehmen und Vorgänge im Zusammenhang mit Supervertretern verwalten.

Aktive Berechtigungen:

Wird für tägliche Vorgänge wie Geldtransfers und das Aufrufen von Smart Contracts verwendet. Diese Berechtigung kann durch die Eigentümerberechtigung festgelegt und geändert werden. Sie wird häufig Konten zugewiesen, die bestimmte Aufgaben ausführen müssen. Es handelt sich um eine Sammlung mehrerer autorisierter Vorgänge (z. B. TRX-Übertragungen, verpfändete Vermögenswerte).

Wie oben erwähnt, verfügt die Adresse des Kontos beim Erstellen eines neuen Kontos standardmäßig über Besitzerberechtigungen (die höchsten Berechtigungen). Sie können die Berechtigungsstruktur des Kontos anpassen, auswählen, für welche Adressen die Berechtigungen des Kontos autorisiert werden sollen, und Geben Sie die Gewichtung dieser Adressen an und legen Sie Schwellenwerte fest. Der Schwellenwert bezieht sich darauf, wie viel Gewicht des Unterzeichners erforderlich ist, um einen bestimmten Vorgang auszuführen. In der folgenden Abbildung ist der Schwellenwert auf 2 festgelegt und die Gewichtungen der drei autorisierten Adressen betragen alle 1. Bei der Ausführung eines bestimmten Vorgangs kann der Vorgang wirksam werden, solange Bestätigungen von zwei Unterzeichnern vorliegen.

(https://support.tronscan.org/hc/article_attachments/29939335264665)

Der Prozess der böswilligen Mehrfachsignatur

Nachdem der Hacker den privaten Schlüssel/die mnemonische Phrase des Benutzers erhalten hat und der Benutzer den Mehrfachsignaturmechanismus nicht verwendet (d. h. das Wallet-Konto wird nur von der kontrolliert). Der Hacker kann die Besitzer-/Aktivberechtigungen auch an die eigene Adresse vergeben oder die Besitzer-/Aktivberechtigungen des Benutzers auf sich selbst übertragen. Diese beiden Vorgänge von Hackern werden normalerweise als bösartige Mehrfachsignaturen bezeichnet, aber tatsächlich ist dies der Fall ist ein weit gefasster Begriff. Tatsächlich kann dies anhand der Berechtigungen des Benutzers erfolgen. So können Sie unterscheiden, ob Sie noch Eigentümer-/Aktivberechtigungen haben:

Verwenden Sie den Multisignaturmechanismus. In der Abbildung unten sind die Eigentümer-/Aktivberechtigungen des Benutzers nicht vorhanden Der Hacker hat die Besitzer-/Aktivberechtigungen für seine Adresse autorisiert. Zu diesem Zeitpunkt ist das Konto Eigentum des Benutzers. Gemeinsam mit Hackern kontrolliert (Schwellenwert ist 2), die Gewichtung sowohl der Benutzeradressen als auch der Hackeradressen beträgt 1. Obwohl der Benutzer über den privaten Schlüssel/die mnemonische Phrase verfügt und über Besitzer-/Aktivberechtigungen verfügt, kann er seine eigenen Vermögenswerte nicht übertragen, da, wenn der Benutzer eine Anfrage zur Übertragung von Vermögenswerten initiiert, sowohl die Adresse des Benutzers als auch die des Hackers signiert werden müssen, bevor dieser Vorgang durchgeführt werden kann normal ausgeführt.

Obwohl für die Übertragung von Vermögenswerten von einem mehrfach signierten Konto die Bestätigung von Mehrparteiensignaturen erforderlich ist, sind Mehrparteiensignaturen für die Einzahlung von Geldern auf ein Wallet-Konto nicht erforderlich. Wenn der Benutzer nicht die Gewohnheit hat, die Kontoberechtigungen regelmäßig zu überprüfen oder in letzter Zeit keine Überweisungsvorgänge durchgeführt hat, wird er im Allgemeinen nicht feststellen, dass die Autorisierung seines Wallet-Kontos geändert wurde, und er wird weiterhin geschädigt. Wenn sich nicht viele Vermögenswerte im Wallet befinden, verfolgen Hacker möglicherweise einen langfristigen Ansatz und warten, bis das Konto eine bestimmte Menge an digitalen Vermögenswerten angesammelt hat, bevor sie alle digitalen Vermögenswerte auf einmal stehlen.

Verwendung des Berechtigungsmanagement-Designmechanismus von TRON

Es gibt eine andere Situation, in der Hacker den Berechtigungsmanagement-Designmechanismus von TRON verwenden, um die Besitzer-/Aktivberechtigungen des Benutzers direkt an die Hackeradresse zu übertragen (der Schwellenwert liegt immer noch bei 1), was dazu führt, dass der Benutzer Besitzer/Aktiv verliert Aktive Berechtigungen, nicht einmal das „Wahlrecht“ sind weg. Es ist zu beachten, dass der Hacker hier nicht den Mechanismus mit mehreren Signaturen verwendet, um Benutzer an der Übertragung von Vermögenswerten zu hindern. Es ist jedoch üblich, diese Situation als böswillige Mehrfachsignatur des Wallets zu bezeichnen.

Das obige ist der detaillierte Inhalt vonLeitfaden „Erste Schritte' mit Web3 Security zur Vermeidung von Fallstricken: Risiken, dass Wallets in böswilliger Absicht mehrfach signiert werden. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!