Nền tảng

Trong những lần trước đóphần trả góp của Hướng dẫn cho người mới bắt đầu về Bảo mật Web3 của chúng tôiTrong bài viết này, chúng tôi đã đề cập đến các rủi ro liên quan đến việc tải xuống hoặc mua các ví, xác định trang web chính thức, xác minh tính xác thực của ví, và nguy cơ rò rỉ khóa riêng tư/seed phrase. Trong khi ngạn ngữ “Không có khóa của bạn, không có xu của bạn” nhấn mạnh tầm quan trọng của việc kiểm soát khóa riêng tư của bạn, có những tình huống mà chỉ có khóa riêng tư/seed phrase không đảm bảo việc kiểm soát tài sản của bạn. Ví dụ, ví của bạn có thể bị ký đa phần một cách độc hại. Dựa trên dữ liệu thu thập từ các mẫu bị đánh cắp của MistTrack, một số người dùng bị rối trí về lý do tại sao ví của họ có số dư nhưng không thể chuyển tiền sau một cuộc tấn công ký đa phần độc hại. Trong vấn đề này, chúng tôi sẽ sử dụng ví TRON để minh họa khái niệm về lừa đảo ký đa phần, bao gồm cơ chế ký đa phần, các chiến thuật tấn công điển hình của hacker, và các chiến lược để ngăn chặn các cuộc tấn công ký đa phần độc hại.

Cơ chế đa chữ ký

Cơ chế Đa Chữ ký

Hãy bắt đầu với một cái nhìn tổng quan ngắn gọn về điều gì là đa chữ ký. Cơ chế đa chữ ký được thiết kế để nâng cao bảo mật của ví bằng cách cho phép nhiều người dùng cùng quản lý và kiểm soát quyền truy cập vào một ví tiền điện tử duy nhất. Điều này có nghĩa là ngay cả khi một số người quản trị mất hoặc tiết lộ khóa riêng tư/seed phrases của họ, tài sản của ví vẫn có thể an toàn.

Hệ thống quyền hạn đa chữ ký của TRON được tổ chức xung quanh ba loại quyền hạn: Chủ sở hữu, Nhân chứng và Hoạt động, mỗi loại phục vụ một mục đích riêng biệt:

Quyền sở hữu:

• Cấp quyền hạn cao nhất để thực hiện tất cả các hợp đồng và hoạt động.
• Chỉ người nắm giữ quyền này mới có thể sửa đổi các quyền khác, bao gồm việc thêm hoặc loại bỏ các người ký khác.
• Mặc định, một tài khoản mới được tạo có quyền sở hữu.

Quyền chứng kiến:

Quyền này chủ yếu liên quan đến Đại diện Siêu, cho phép tài khoản tham gia vào quá trình bầu cử và bỏ phiếu cho Đại diện Siêu và quản lý các hoạt động liên quan.

Quyền hoạt động:

Được sử dụng cho các hoạt động thường xuyên như chuyển khoản và gọi hợp đồng thông minh. Quyền này có thể được thiết lập và điều chỉnh bởi quyền Sở hữu và thường được phân bổ cho các tài khoản để thực hiện các nhiệm vụ cụ thể. Nó bao gồm một bộ sưu tập các hành động được ủy quyền (ví dụ: chuyển khoản TRX, đặt cược tài sản).

Khi một tài khoản mới được tạo, nó sẽ tự động nhận quyền Sở hữu (quyền lực cao nhất). Chủ sở hữu tài khoản sau đó có thể điều chỉnh cấu trúc quyền hạn của nó, xác định địa chỉ nào được ủy quyền, thiết lập trọng số của những địa chỉ này và cấu hình ngưỡng. Ngưỡng đại diện cho số chữ ký cần thiết để thực hiện một hành động cụ thể. Trong sơ đồ dưới đây, ngưỡng là 2 có nghĩa là để thực hiện một hành động, 2 trong số 3 địa chỉ được ủy quyền phải ký duyệt.

(https://support.tronscan.org/hc/article_attachments/29939335264665)

Quá trình Đa chữ ký Độc hại

Nếu một hacker có được khóa riêng tư / cụm từ gốc của người dùng và người dùng chưa sử dụng cơ chế ký quy đa chữ ký (tức là ví được kiểm soát hoàn toàn bởi người dùng), hacker có thể cấp quyền Chủ sở hữu/Active cho địa chỉ của họ hoặc chuyển quyền Chủ sở hữu/Active của người dùng cho họ. Những hành động này thường được gọi là tấn công đa chữ ký độc hại, nhưng chúng có thể được phân biệt dựa trên việc người dùng vẫn giữ quyền Chủ sở hữu/Active hay không:

Khai thác cơ chế chữ ký đa chữ ký:Nếu hacker cấp quyền Owner/Active cho chính họ trong khi quyền của người dùng vẫn nguyên vẹn, tài khoản sẽ được quản lý chung bởi cả người dùng và hacker (với ngưỡng là 2). Cả địa chỉ của người dùng và của hacker đều có trọng số là 1. Mặc dù người dùng sở hữu khóa riêng tư/seed phrase và giữ quyền Owner/Active, họ không thể chuyển tài sản của mình vì giao dịch yêu cầu chữ ký từ cả địa chỉ của người dùng và của hacker.

Mặc dù các tài khoản nhiều chữ ký cần nhiều chữ ký để ủy quyền chuyển tài sản, nhưng việc gửi tiền vào ví thì không. Nếu người dùng không thường xuyên kiểm tra quyền tài khoản của họ hoặc gần đây chưa tiến hành chuyển khoản, họ có thể không nhận thấy những thay đổi đối với ủy quyền của ví, dẫn đến rủi ro liên tục. Tin tặc có thể khai thác điều này bằng cách đợi cho đến khi tài khoản tích lũy được một lượng tài sản đáng kể trước khi thực hiện hành vi trộm cắp quy mô lớn.

Sử dụng thiết kế Quản lý Quyền của TRON:Một kịch bản khác liên quan đến việc hacker tận dụng thiết kế quản lý quyền của TRON để trực tiếp chuyển quyền sở hữu/hoạt động của người dùng đến địa chỉ của họ (với ngưỡng vẫn là 1), làm cho người dùng mất quyền này và “voting rights” của họ. Trong trường hợp này, hacker không sử dụng cơ chế đa chữ ký để ngăn chặn việc chuyển tài sản nhưng vẫn được gọi là đa chữ ký độc hại theo ngôn ngữ thông thường.

Cả hai tình huống đều dẫn đến cùng một kết quả: liệu người dùng có giữ quyền Sở hữu/Active hay không, họ đều mất kiểm soát hiệu quả trên tài khoản, và kẻ tấn công giành quyền kiểm soát đầy đủ, bao gồm khả năng sửa đổi quyền hạn và chuyển tài sản.

Nguyên nhân phổ biến của cuộc tấn công đa chữ ký độc hại

Dựa trên dữ liệu bị đánh cắp được thu thập bởi MistTrack, chúng tôi đã xác định được một số nguyên nhân phổ biến của các cuộc tấn công chữ ký đa bên độc hại. Hãy cảnh giác nếu bạn gặp phải bất kỳ tình huống sau đây:

1.Tải xuống từ các nguồn không đúng:Nhấp vào các liên kết giả mạo chính thức được gửi qua Telegram, Twitter, hoặc từ người quen có thể dẫn đến ví điện tử giả mạo và rò rỉ khóa riêng tư/cụm từ khóa gốc và các cuộc tấn công đa chữ ký độc hại.

2.Nhập khóa riêng tư/Seed Phrases trên các trang web lừa đảo:Nhập khóa riêng/từ khóa gốc trên các trang web lừa đảo cung cấp thẻ nhiên liệu, thẻ quà tặng hoặc dịch vụ VPN, dẫn đến mất kiểm soát về tài khoản ví.

3.Giao dịch OTC:Trong quá trình giao dịch ngoại vi, nếu ai đó chiếm được các khóa riêng tư/cụm từ khóa gốc hoặc đạt được quyền truy cập vào tài khoản thông qua các phương tiện khác, ví có thể bị ký nhiều lần một cách độc hại, dẫn đến mất tài sản.

4.Các đề nghị lừa đảo:Kẻ lừa đảo có thể cung cấp khóa riêng tư/cụm từ gốc và tuyên bố họ không thể rút tiền từ ví, đề nghị một phần thưởng nếu bạn giúp đỡ. Mặc dù có tiền trong ví, bạn sẽ không thể rút tiền nếu quyền rút tiền đã được chuyển sang địa chỉ khác bởi kẻ lừa đảo.

5.Các liên kết lừa đảo trên TRON:Một tình huống ít phổ biến khi người dùng nhấp vào các liên kết lừa đảo trên TRON và đăng ký dữ liệu độc hại, dẫn đến một cuộc tấn công đa chữ ký độc hại.

Tóm tắt

Trong hướng dẫn này, chúng tôi đã sử dụng ví TRON để giải thích cơ chế đa chữ ký, quy trình và chiến thuật của các cuộc tấn công đa chữ ký độc hại và các chiến lược để tránh chúng. Chúng tôi hy vọng điều này cung cấp sự hiểu biết rõ ràng hơn về cơ chế đa chữ ký và tăng cường khả năng ngăn chặn các cuộc tấn công đa chữ ký độc hại. Ngoài ra, có những trường hợp đặc biệt mà người dùng mới làm quen có thể vô tình thiết lập ví của họ để đa chữ ký do lỗi hoạt động hoặc hiểu lầm, yêu cầu nhiều chữ ký để chuyển. Trong những trường hợp như vậy, người dùng phải đáp ứng các yêu cầu đa chữ ký hoặc điều chỉnh quyền để cấp quyền Chủ sở hữu / Hoạt động cho một địa chỉ duy nhất để khôi phục chức năng chữ ký đơn.

Cuối cùng, đội SlowMist Security khuyến nghị người dùng kiểm tra định kỳ quyền hạn tài khoản của họ để phát hiện bất thường, tải ví từ nguồn chính thức (như được mô tả trong hướng dẫn về ví giả mạo và rò rỉ khóa riêng tư/seed phrase) Tránh nhấp vào các liên kết không rõ nguồn gốc, và hạn chế việc nhập các khóa riêng tư/cụm từ khóa mật mật mà không cẩn thận. Ngoài ra, cài đặt phần mềm diệt virus (như Kaspersky, AVG) và các công cụ chặn rủi ro lừa đảo (như Scam Sniffer) để cải thiện an ninh thiết bị.

Tuyên bố từ chối trách nhiệm:

1. Bài viết này được sao chép từ [ SlowMist], Tất cả bản quyền thuộc về tác giả gốc [Đội bảo mật SlomMist]. Nếu có ý kiến phản đối bản in lại này, vui lòng liên hệ với Gate Họcđội ngũ và họ sẽ xử lý nhanh chóng.
2. Miễn trách nhiệm về trách nhiệm: Các quan điểm và ý kiến được thể hiện trong bài viết này chỉ thuộc về tác giả và không thành lập bất kỳ lời khuyên đầu tư nào.
3. Bản dịch của bài viết sang các ngôn ngữ khác được thực hiện bởi nhóm Gate Learn. Trừ khi được đề cập, việc sao chép, phân phối hoặc đạo văn các bài viết dịch là không được phép.