Фон

В предыдущемчасть нашего руководства для начинающих по безопасности Web3, мы рассмотрели риски, связанные с загрузкой или покупкой кошельков, идентификацией официальных веб-сайтов, проверкой подлинности кошелька и опасностями утечки закрытого ключа/seed-фразы. Несмотря на то, что поговорка «Не ваши ключи, не ваши монеты» подчеркивает важность контроля над вашими приватными ключами, существуют сценарии, когда наличие приватного ключа/seed-фразы само по себе не гарантирует контроль над вашими активами. Например, ваш кошелек может быть злонамеренно подписан несколькими подписями. Основываясь на данных, собранных из украденных форм MistTrack, некоторые пользователи были озадачены тем, почему в их кошельке был баланс, но они не могли перевести средства после злонамеренной атаки с мультиподписью. В этом выпуске мы будем использовать кошелек TRON, чтобы проиллюстрировать концепцию фишинга с мультиподписью, включая механизм мультиподписи, типичную хакерскую тактику и стратегии предотвращения вредоносных атак с несколькими подписями.

Механизм мультиподписи

Механизм мультиподписи

Давайте начнем с краткого обзора механизма мультиподписи. Механизм мультиподписи создан для повышения безопасности кошелька, позволяя нескольким пользователям совместно управлять и контролировать доступ к одному цифровому кошельку. Это означает, что даже если некоторые администраторы потеряют или раскроют свои приватные ключи/фразы восстановления, активы кошелька могут остаться в безопасности.

Многоуровневая система разрешений TRON по мультиподписи построена вокруг трех типов разрешений: Владелец, Свидетель и Активный, каждый из которых служит определенной цели:

Разрешение владельца:

• Предоставляет самый высокий уровень полномочий для выполнения всех контрактов и операций.
• Только владелец этого разрешения может изменять другие разрешения, включая добавление или удаление других подписантов.
• По умолчанию вновь созданный аккаунт имеет разрешение владельца.

Свидетель разрешения:

Это разрешение в основном связано с супер-представителями, позволяющее аккаунту участвовать в выборах и процессе голосования за супер-представителей и управлять связанными операциями.

Активное разрешение:

Используется для регулярных операций, таких как перевод средств и вызов смарт-контрактов. Это разрешение может быть установлено и настроено разрешением Владельца и обычно назначается учетным записям для выполнения конкретных задач. Оно включает в себя набор авторизованных действий (например, переводы TRX, стейкинг активов).

При создании новой учетной записи она автоматически получает разрешение Владельца (наивысшая полномочия). Владелец учетной записи затем может настроить структуру разрешений, определить, какие адреса авторизовать, установить вес этих адресов и настроить пороги. Порог представляет собой количество подписей, необходимых для выполнения определенного действия. На диаграмме ниже порог 2 означает, что для выполнения действия должно быть получено подтверждение от 2 из 3 авторизованных адресов.

(https://support.tronscan.org/hc/article_attachments/29939335264665)

Процесс вредоносной мультиподписи

Если хакер получает приватный ключ / фразу восстановления пользователя, и пользователь не использует механизм мультиподписи (т.е. кошелек контролируется исключительно пользователем), хакер может выдать разрешения Владелец / Активный своему адресу или передать разрешения Владелец / Активный пользователя себе. Эти действия часто называют злонамеренными мультиподписными атаками, но их можно отличить на основе того, остаются ли у пользователя разрешения Владелец / Активный:

Использование механизма мульти-подписи:Если хакер предоставляет себе разрешения владельца/активного пользователя, а разрешения пользователя остаются нетронутыми, учетная запись управляется как пользователем, так и хакером (с порогом 2). Как у пользователя, так и у хакера адреса имеют вес 1. Несмотря на то, что пользователь обладает закрытым ключом/семенной фразой и имеет разрешения владельца/активного пользователя, он не может передавать свои активы, поскольку для проведения транзакции требуются подписи как от адреса пользователя, так и от адреса хакера.

Хотя для мультиподписных аккаунтов требуется несколько подписей для авторизации перевода активов, внесение средств на кошелек этого не требует. Если пользователь не регулярно проверяет разрешения своего аккаунта или недавно не проводил переводы, он может не заметить изменений в разрешениях своего кошелька, что приводит к непрерывному риску. Злоумышленники могут воспользоваться этим, дожидаясь, пока на аккаунте накопится значительное количество активов, прежде чем совершить крупное кражу.

Используя дизайн управления разрешениями TRON:Еще один сценарий включает в себя злоумышленников, использующих конструкцию управления правами TRON для прямого перевода прав Владельца/Активного пользователя на свой адрес (при этом порог остается на уровне 1), что приводит к потере пользователем этих прав и его "права голоса". В этом случае злоумышленник не использует механизм мультиподписи для предотвращения передачи активов, но в общей терминологии такое все равно называется злонамеренной мультиподписью.

Оба сценария приводят к одному и тому же результату: независимо от того, сохраняет ли пользователь разрешения «Владелец» или «Активный», он теряет эффективный контроль над учетной записью, а хакер получает полный контроль, включая возможность изменять разрешения и передавать активы.

Общие причины злонамеренных атак с множественной подписью

Исходя из украденных данных, собранных MistTrack, мы выявили несколько общих причин злонамеренных атак с множественной подписью. Будьте бдительны, если вы столкнетесь с любой из следующих ситуаций:

1.Загрузка из неправильных источников:Нажатие на фальшивые официальные ссылки, отправленные через Telegram, Twitter или от знакомых, может привести к подделке кошельков, утечкам частных ключей/сид-фраз и злонамеренным атакам с множественной подписью.

2.Ввод частных ключей / фраз восстановления на фишинговых сайтах:Ввод частных ключей/семенных фраз на фишинговых веб-сайтах, предлагающих топливные карты, подарочные карты или услуги VPN, что приводит к потере контроля над учетной записью кошелька.

3.Внебиржевые сделки:Во время внебиржевых сделок, если кто-то перехватывает закрытые ключи/семенные фразы или получает авторизацию учетной записи другими способами, кошелек может быть злонамеренно мультиподписанным, что приведет к потере активов.

4.Мошеннические предложения:Мошенники могут предоставить приватные ключи/фразы восстановления и заявлять, что они не могут вывести активы из кошелька, предлагая вознаграждение за помощь. Несмотря на наличие средств на кошельке, вы не сможете их вывести, если права на снятие были переведены на другой адрес мошенником.

5.Фишинговые ссылки на TRON:Реже встречающаяся ситуация, когда пользователи нажимают на фишинговые ссылки на TRON и подписывают вредоносные данные, что приводит к вредоносной мультиподписной атаке.

Сводка

В данном руководстве мы использовали кошелек TRON для объяснения механизма мультиподписи, процесса и тактики злонамеренных атак мультиподписи и стратегий их предотвращения. Мы надеемся, что это обеспечит более ясное понимание механизма мультиподписи и повысит вашу способность предотвращать злонамеренные атаки мультиподписи. Кроме того, есть случаи, когда новички могут непреднамеренно настроить свои кошельки на мультиподпись из-за операционных ошибок или недопонимания, требующие нескольких подписей для переводов. В таких случаях пользователи должны либо соответствовать требованиям мультиподписи, либо настроить разрешения, чтобы предоставить владельцу/активному разрешения одного адреса, чтобы восстановить функциональность одиночной подписи.

Наконец, команда безопасности SlowMist рекомендует пользователям регулярно проверять разрешения своей учетной записи на наличие аномалий, загружать кошельки из официальных источников (как описано в нашем руководство по фальшивым кошелькам и утечкам приватного ключа/семенной фразы) избегайте нажатия на неизвестные ссылки и воздерживайтесь от ввода частных ключей/фраз безопасности без осторожности. Кроме того, установите антивирусное программное обеспечение (например, Kaspersky, AVG) и блокаторы риска фишинга (например, Scam Sniffer), чтобы повысить безопасность устройства.

Отказ от ответственности:

1. Эта статья перепечатана из [SlowMist], Все права принадлежат оригинальному автору [Команда безопасности SlomMist]. Если у вас есть возражения по поводу этого повторного издания, пожалуйста, свяжитесь с Gate Learnкоманда и они быстро разберутся с этим.
2. Отказ от ответственности: Взгляды и мнения, выраженные в этой статье, являются исключительно мнением автора и не являются инвестиционным советом.
3. Переводы статьи на другие языки выполняются командой Gate Learn. Если не указано иное, копирование, распространение или плагиат статьи запрещены.