近期,TRX 多重簽名騙局異常猖獗,騙子通過誘導用戶下載假 imToken 等方式獲取用戶的助記詞,但是卻不直接將用戶的資產盜走,而是通過修改用戶的 TRX 錢包賬戶權限,導致用戶失去對賬戶內代幣的控製權,只能將代幣轉入錢包,卻無法轉出。
本文將揭秘 TRX 多重簽名騙局具體是如何實施的,以及我們該如何防範這類騙局。
什麽是 TRX 多重簽名騙局
當我們創建了一個 TRX 錢包後,這個錢包賬戶默認的擁有者權限為賬戶本人,閾值為 1,即錢包轉賬需持有一個擁有者權限的地址進行簽名授權才能發起。
註:擁有者權限是指一個 TRX 賬戶的最高權限,具有該權限的地址可進行該賬戶內的所有操作。
而當騙子獲取了用戶助記詞,對其 TRX 賬戶權限進行修改後,用戶地址的擁有者權限變為用戶本人和騙子共同持有,閾值為 2,即錢包轉賬需要兩個擁有者權限的地址——用戶的地址和騙子的地址,共同簽名授權才能發起。
由於此時 TRX 錢包的轉賬需要多重簽名(用戶地址的簽名和騙子地址的簽名)才能完成,所以這類騙局被稱為 TRX 多重簽名騙局。
這就意味著,當用戶的 TRX 賬戶被騙子更改為需多重簽名的地址後,用戶發起的任何交易,都需要騙子的簽名授權才能完成,如果只是用戶單方面發起交易,就會遇到類似「server:SIGERROR」的報錯。
你可能會疑惑,為什麽用戶擁有自己賬戶的助記詞 / 私鑰,也無法「獨立完成」代幣的轉出操作。
以合夥開公司的例子解釋一下,你就明白了。假設有一家公司有兩個合夥人,他們在這家公司成立之初規定:所有的重大決策要兩個合作人都同意進行簽名授權,即多重簽名,才可以執行。若有一方不同意,決策則不通過。
被騙子修改為多重簽名的 TRX 賬戶就像是這樣一家公司,即便用戶持有錢包助記詞,但也已經無法「獨立完成」對這個錢包的轉賬等重大操作。
用戶只能將代幣轉入這個賬戶,卻無法轉出,騙子就是利用這一點從而「放長線釣大魚」,等到用戶在賬戶中積累了足夠的代幣後再一次性盜走。如果一個用戶從來都是只收款不轉賬,且不去鏈上查看自己的賬戶權限,那他可能會一直蒙在鼓裏並持續地向這個賬戶轉錢。
另外,騙子除了通過誘導用戶下載假 imToken 方式外,還會通過以下兩類方式利用多重簽名詐騙:
- 在 Telegram 等社交平臺推廣充值網站,誘導用戶使用數字資產進行充值,實際上是趁用戶充值時獲取賬戶的擁有者權限,導致用戶失去對賬戶的控製權;
- 在 Telegram、微信等社交平臺公開自己的助記詞 / 私鑰,誘導用戶轉入 TRX 作為手續費以轉走錢包內的代幣,但實際騙子早已將擁有者權限轉移,最終導致用戶損失 TRX。
安全提醒
imToken 安全團隊在此提醒大家
- 下載 imToken 請認準官網 :https://token.im/
- 天下不會有免費的午餐,切莫貪小便宜
- 定期檢查 TRX 錢包賬戶權限(👇 附有教程)
如何查詢賬戶權限
1. 打開 TRX 錢包,切換至「瀏覽」頁面輸入 TRONSCAN 並打開。
2. 在輸入框輸入錢包地址並搜索,跳至賬戶信息頁面並下滑至「Account Permission」板塊。
3. 如圖所示,如果有且只有你的地址持有擁有者權限,說明你的賬戶權限是安全的。