Rumah >web3.0 >Panduan Permulaan Keselamatan Web3 untuk Mengelakkan Perangkap: Risiko Dompet Ditandatangani Berbilang Hasad

Panduan Permulaan Keselamatan Web3 untuk Mengelakkan Perangkap: Risiko Dompet Ditandatangani Berbilang Hasad

PHPz
PHPzasal
2024-07-26 17:01:20646semak imbas

Latar Belakang

Dalam edisi terakhir Panduan Perangkap Memulakan Keselamatan Web3, kami menerangkan terutamanya risiko semasa memuat turun/membeli dompet, cara mencari tapak web rasmi sebenar dan mengesahkan ketulenan dompet, dan risiko kebocoran kunci peribadi/ frasa mnemonik. Kami sering menyebut "Bukan kunci anda, bukan syiling anda", tetapi terdapat juga situasi di mana walaupun anda mempunyai kunci persendirian/frasa mnemonik, anda tidak boleh mengawal aset anda, iaitu dompet telah ditandatangani dengan berniat jahat. Digabungkan dengan borang curi MistTrack yang kami kumpulkan, selepas beberapa dompet pengguna ditandatangani dengan niat jahat, mereka tidak faham mengapa mereka masih mempunyai baki dalam akaun dompet mereka tetapi tidak dapat memindahkan dana keluar. Oleh itu, dalam isu ini, kami akan mengambil dompet TRON sebagai contoh untuk menerangkan pengetahuan berkaitan pancingan data berbilang tandatangan, termasuk mekanisme berbilang tandatangan, operasi biasa penggodam dan cara mengelakkan tandatangan berbilang berniat jahat dalam dompet.

Web3 安全入门避坑指南:钱包被恶意多签风险

Mekanisme berbilang tandatangan

Mari jelaskan secara ringkas apa itu multi-tandatangan Tujuan asal mekanisme berbilang tandatangan adalah untuk menjadikan dompet lebih selamat dan membolehkan berbilang pengguna mengurus dan mengawal hak akses dan penggunaan secara bersama. daripada dompet aset digital yang sama. Walaupun sesetengah pengurus kehilangan atau membocorkan kunci peribadi/frasa mnemonik, aset dalam dompet tidak semestinya akan rosak.

Sistem kebenaran berbilang tandatangan TRON direka bentuk dengan tiga kebenaran berbeza: Pemilik, Saksi dan Aktif, masing-masing dengan fungsi dan kegunaan tertentu.

Kebenaran pemilik:

  • Mempunyai kuasa tertinggi untuk melaksanakan semua kontrak dan operasi
  • Hanya dengan kebenaran ini boleh diubah suai, termasuk menambah atau mengalih keluar penandatangan lain
  • , selepas membuat akaun baharu; oleh akaun itu sendiri secara lalai kebenaran ini.

Kebenaran saksi:

Kebenaran ini terutamanya berkaitan dengan Akaun Wakil Super dengan kebenaran ini boleh mengambil bahagian dalam pemilihan dan pengundian wakil super, dan menguruskan operasi yang berkaitan dengan wakil super.

Kebenaran aktif:

Digunakan untuk operasi harian, seperti memindahkan dana dan menghubungi kontrak pintar. Kebenaran ini boleh ditetapkan dan diubah suai oleh kebenaran Pemilik Ia selalunya diberikan kepada akaun yang perlu melaksanakan tugas tertentu Ia adalah koleksi beberapa operasi yang dibenarkan (seperti pemindahan TRX, aset yang dicagarkan).

Seperti yang dinyatakan di atas, apabila membuat akaun baharu, alamat akaun tersebut akan mempunyai kebenaran Pemilik (kebenaran tertinggi) secara lalai Anda boleh melaraskan struktur kebenaran akaun, memilih alamat untuk membenarkan kebenaran akaun tersebut dan. nyatakan berat saiz alamat ini dan tetapkan ambang. Ambang merujuk kepada jumlah berat penanda yang diperlukan untuk melaksanakan operasi tertentu. Dalam rajah di bawah, ambang ditetapkan kepada 2 dan berat bagi tiga alamat yang dibenarkan adalah kesemuanya 1. Apabila melakukan operasi tertentu, operasi boleh berkuat kuasa selagi terdapat pengesahan daripada 2 penandatangan.

Web3 安全入门避坑指南:钱包被恶意多签风险

(https://support.tronscan.org/hc/article_attachments/29939335264665)

Proses berbilang tandatangan berniat jahat

Selepas penggodam memperoleh kunci peribadi/frasa mnemonik pengguna, jika pengguna tidak menggunakan mekanisme berbilang tandatangan (iaitu, akaun dompet hanya dikawal oleh pengguna), penggodam boleh menukar Kebenaran Pemilik/Aktif juga boleh diberikan kepada alamat sendiri atau kebenaran Pemilik/Aktif pengguna boleh dipindahkan kepada diri sendiri Kedua-dua operasi penggodam ini biasanya dipanggil berbilang tandatangan berniat jahat, tetapi sebenarnya ini adalah istilah yang luas. Malah, ia boleh dilakukan mengikut pengguna Untuk membezakan sama ada anda masih mempunyai kebenaran Pemilik/Aktif:

Gunakan mekanisme berbilang tandatangan

Dalam gambar di bawah, kebenaran Pemilik/Aktif pengguna belum telah dibuang. Walaupun pengguna memegang kunci persendirian/frasa mnemonik dan mempunyai kebenaran Pemilik/Aktif, dia tidak boleh memindahkan asetnya sendiri kerana apabila pengguna memulakan permintaan untuk memindahkan aset, kedua-dua alamat pengguna dan penggodam dikehendaki menandatangani sebelum operasi ini boleh dilaksanakan secara normal.

Web3 安全入门避坑指南:钱包被恶意多签风险

Walaupun operasi pemindahan aset daripada akaun berbilang tandatangan memerlukan pengesahan tandatangan berbilang pihak, tandatangan berbilang pihak tidak diperlukan untuk mendepositkan dana ke dalam akaun dompet. Jika pengguna tidak mempunyai tabiat kerap menyemak kebenaran akaun atau tidak melakukan sebarang operasi pemindahan baru-baru ini, dia secara amnya tidak akan mendapati bahawa kebenaran akaun dompetnya telah ditukar, dan dia akan terus rosak. Jika tidak terdapat banyak aset dalam dompet, penggodam mungkin mengambil pendekatan jangka panjang dan menunggu akaun itu mengumpul sejumlah aset digital sebelum mencuri semua aset digital sekaligus.

Menggunakan mekanisme reka bentuk pengurusan kebenaran TRON

Terdapat satu lagi situasi di mana penggodam menggunakan mekanisme reka bentuk pengurusan kebenaran TRON untuk memindahkan terus kebenaran Pemilik/Aktif pengguna ke alamat penggodam (ambang masih 1), menyebabkan pengguna kehilangan Pemilik/ Kebenaran Aktif, malah "hak untuk mengundi" tidak hilang. Perlu diingatkan bahawa penggodam di sini tidak menggunakan mekanisme berbilang tandatangan untuk menghalang pengguna daripada memindahkan aset, tetapi adalah kebiasaan untuk memanggil situasi ini sebagai tandatangan berbilang dompet yang berniat jahat.

Web3 安全入门避坑指南:钱包被恶意多签风险

Atas ialah kandungan terperinci Panduan Permulaan Keselamatan Web3 untuk Mengelakkan Perangkap: Risiko Dompet Ditandatangani Berbilang Hasad. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan:
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn