当前位置:主页 > 区块链 > 钱包知识 > Web3避坑指南

Web3 安全入门避坑指南(钱包被恶意多签风险分析)

2025-02-10 13:34:51 | 来源: | 作者:佚名
本期我们将以 TRON 钱包为例,讲解多签钓鱼的相关知识,包括多签机制、黑客的常规操作及如何避免钱包被恶意多签等内容

背景

在上一期 Web3 安全入门避坑指南中,我们主要讲解下载/购买钱包时的风险,找到真官网和验证钱包真伪的方法,以及私钥/助记词的泄露风险。我们常说 “Not your keys, not your coins”,但也存在即使你有私钥/助记词,也无法控制自己资产的情况,即钱包被恶意多签了。结合我们收集到的 MistTrack 被盗表单,一些用户的钱包被恶意多签后,不明白为什么自己钱包账户里还有余额,却无法把资金转出。因此,本期我们将以 TRON 钱包为例,讲解多签钓鱼的相关知识,包括多签机制、黑客的常规操作及如何避免钱包被恶意多签等内容。

多签机制

我们先简单解释下什么是多签,多签机制的本意是为了使得钱包更安全,允许多个用户共同管理和控制同一个数字资产钱包的访问和使用权限。尽管部分管理者丢失或泄露了私钥/助记词,钱包里的资产也不一定会受损。

TRON 的多重签名权限系统设计了三种不同的权限:Owner、Witness 和 Active,每种权限都有特定的功能和用途。

Owner 权限

  • 拥有执行所有合约和操作的最高权限;
  • 只有拥有该权限才能修改其他权限,包括添加或移除其他签名者;
  • 创建新账户后,默认为账户本体拥有该权限。

Witness 权限

这个权限主要与超级代表(Super Representatives) 相关,拥有该权限的账户能够参与超级代表的选举和投票,管理与超级代表相关的操作。

Active 权限

用于日常操作,例如转账和调用智能合约。这个权限可以由 Owner 权限设定和修改,常用于分配给需要执行特定任务的账户,它是若干授权操作(比如 TRX 转账、质押资产)的一个集合。

上文中提到,新建账户时,该账户的地址会默认拥有 Owner 权限(最高权限),可以调整账户的权限结构,选择将该账户的权限授权给哪些地址,规定这些地址所占权重的大小,以及设置阈值。阈值是指需要签名方权重到达多少才能执行特定操作。在下图中,阈值设置为 2,3 个被授权地址的权重都为 1,那么在执行特定操作时,只要有 2 个签名方的确认,这个操作就可以生效。

(https://support.tronscan.org/hc/article_attachments/29939335264665)

恶意多签的过程

黑客获取用户私钥/助记词后,如果用户没有使用多签机制(即该钱包账户仅由用户一人控制),黑客便可以将 Owner/Active 权限也授权给自己的地址或者将用户的 Owner/Active 权限转移给自己,黑客的这两种操作通常都被大家称为恶意多签,但其实这是一个广义的说法,实际上,可以根据用户是否还拥有 Owner/Active 权限来区分:

利用多签机制

下图中,用户的 Owner/Active 权限未被移除,黑客给自己的地址授权了 Owner/Active 权限,此时账户由用户和黑客共同控制(阈值为 2),用户地址和黑客地址的权重都为 1。用户虽然持有私钥/助记词,也有 Owner/Active 权限,但无法转移自己的资产,因为用户发起转出资产请求时,需要用户和黑客的地址都签名,这个操作才能正常执行。

虽然被多签的账户执行转出资产的操作需要多方签名的确认才可以实现,但是向钱包账户入账是不需要多方签名的。如果用户没有定期检查账户权限情况的习惯或者近期没有转出操作的话,一般不会发现自己钱包账户的授权被更改,那么便持续受损。如果钱包内的资产不多,黑客可能会放长线钓大鱼,等待该账户积累了一定数字资产后,再一次性盗取所有数字资产。

利用TRON的权限管理设计机制

还有一种情况是黑客利用 TRON 的权限管理设计机制,直接将用户的 Owner/Active 权限转移给黑客地址(阈值仍为 1),使得用户失去 Owner/Active 权限,连“投票权”都没有了。需注意,此处黑客并不是利用多签机制使得用户无法转移资产,但大家习惯上称这种情况也为钱包被恶意多签。

以上两种情况造成的结果是一样的,无论用户是否还拥有 Owner/Active 权限,都失去了对该账户的实际控制权,黑客地址获得了账户的最高权限,可实现更改账户权限、转移资产等操作。

恶意多签的途径

结合 MistTrack 收集到的被盗表单,我们总结出了几种钱包被恶意多签的常见原因,希望用户遇到以下几种情况时,提高警惕:

1. 在下载钱包时,未能找到正确的途径,点击了电报、推特、网友发送的假官网链接,下载到假钱包,结果私钥/助记词泄露,钱包被恶意多签。

2. 用户在一些出售加油卡、礼品卡、VPN 服务的钓鱼充值网站输入了私钥/助记词,结果失去自己钱包账户的控制权。

3. OTC 交易时,被有心之人拍到私钥/助记词或以某手段获取账户的授权,随后钱包被恶意多签,资产受损。

4. 一些骗子把私钥/助记词提供给你,称他无法提取钱包账户里的资产,如果你能帮忙的话可以给你酬劳。虽然这个私钥/助记词对应的钱包地址确实存在资金,但无论你给多少手续费、手速多快都提不走,因为提币权限被骗子配置给了另一个地址。

5. 还有一种较为少见的情况是用户在 TRON 上点击了钓鱼链接,签名了恶意的数据,随后钱包被恶意多签。

总结

在本期指南中,我们主要以 TRON 钱包为例,讲解了多签机制、黑客实施恶意多签的过程和套路,希望帮助大家加深对多签机制的理解和提高防范钱包被恶意多签的能力。当然,除了被恶意多签的情形之外,还存在一些比较特别的案例,有的新手用户可能因操作不慎或缺乏了解,误将钱包设置成了多签,导致需要多个签名才能进行转账。此时,用户仅需满足多签要求或在权限管理处将 Owner/Active 权限只授权给一个地址,恢复单签即可。

最后,慢雾安全团队建议广大用户定期检查账户权限,查看是否有异常;从官方途径下载钱包,我们在Web3 安全入门避坑指南|假钱包与私钥助记词泄露风险里讲过如何找到正确的官网和验证钱包的真伪;不点击不明链接,更不轻易输入私钥/助记词;安装杀毒软件(如卡巴斯基、AVG 等)和钓鱼风险阻断插件(如 Scam Sniffer),提高设备安全性。

免责声明:本文只为提供市场讯息,所有内容及观点仅供参考,不构成投资建议,不代表本站观点和立场。投资者应自行决策与交易,对投资者交易形成的直接或间接损失,作者及本站将不承担任何责任。!
Tag:Web3   避坑指南   多签  

你可能感兴趣的文章

币圈快讯

  • 下周宏观展望:沃什“首秀”在即美联储将公布利率决议

    2026-06-13 20:41
    下周,市场焦点将集中在美联储等多家主要央行的利率决议上,沃什自宣誓就任美联储新任主席后一直保持沉默,6月利率决议公布后的新闻发布会将是其货币政策立场的关键验证。市场同样期待他届时就沟通机制改革发出明确信号。以下是新的一周里市场将重点关注的要点(均为北京时间): 周一15:15,欧洲央行行长拉加德发表讲话; 周二待定,日本央行公布利率决议;14:30,日本央行副行长内田真一召开货币政策新闻发布会; 周二20:15,美国至5月30日当周ADP就业人数周度变动; 周四2:00,美联储FOMC公布利率决议和经济预期摘要;2:30,美联储主席沃什召开货币政策新闻发布会; 周四20:30,美国至6月13日当周初请失业金人数、美国6月费城联储制造业指数。 在政策信号方面,市场聚焦美联储三个鹰派信号是否落地:首先是原政策声明中“下一步倾向降息”的表述会否被删除。若删除该措辞,意味着美联储正式结束此前的宽松倾向,转向以抗通胀为核心的政策基调。其次是点阵图的变动,3月点阵图显示年内尚有一次降息,但本次点阵图大概率转向显示利率稳定,甚至可能出现多数官员预期加息的情况。最后是风险偏好倾斜。若官员们对通胀的担忧明显升温、对劳动力市场的忧虑消退,则可能为后续加息铺路。周五(6月19日),因六月节,美国纽交所休市一天,芝商所旗下贵金属、能源、外汇、股指、美债期货合约交易提前于北京时间20日01:00结束,洲际交易平台旗下布伦特原油期货合约交易提前于北京时间20日01:30结束。

  • 若比特币突破6.6万美元主流CEX累计空单清算强度将达9.15亿

    2026-06-13 20:40
    据Coinglass数据,若比特币突破6.6万美元,主流CEX累计空单清算强度将达9.15亿。反之,若比特币跌破6.2万美元,主流CEX累计多单清算强度将达9亿。清算图并不是展示精确的待清算的合约数目,或者精确的被清算的合约价值。清算图上的柱子展示的是其实是每个清算簇相对临近清算簇的重要性,即强度。因此,清算图展现的是标的价格达到某个位置会被影响到什么程度。更高的“清算柱”表示价格到了之后将会因为流动性浪潮产生更加强烈的反应。

  • 萨尔瓦多优化移民制度临时居民比特币收益与海外收入享0%税率

    2026-06-13 20:06
    萨尔瓦多正在持续优化其移民制度,以吸引高净值外国人才与资本(包括家庭)。根据2026年3月31日生效的第531号法令,临时居民的居住要求已从每年必须在境内停留9个月,降低至每年累计或连续仅需居住90天。这一调整主要面向需要频繁跨境流动的企业家、投资者以及远程工作者。萨尔瓦多为拥有海外来源收入的个人提供了拉美地区最具吸引力的税制之一。该国实行属地税制,意味着只有在萨尔瓦多境内产生的收入才需要纳税。2024年的一项重要所得税改革进一步明确:无论居民还是非居民,其海外来源收入均可免征所得税。这意味着自由职业者、远程工作者(如内容创作者、开发者以及海外收入的企业家)可以对其境外收入享受0%萨尔瓦多所得税,且不受金额限制。此外,根据该国法律,比特币相关资本利得不征税,同时该国也不征收财富税、遗产税或赠与税。真正的焦点在于个人原属国是否承认这一安排;因为大多数国家通常不会轻易放弃对其税收居民的征税权,往往会在税务归属问题上进行严格审查与追索。

  • 数据美国现货比特币ETF单日净流入近8600万美元

    2026-06-13 20:01
    SoSoValue数据显示,上周五美国现货比特币ETF合计净流入近8600万美元,约合1350枚比特币,其中BlackRock旗下IBIT净流入近5800万美元。StandardChartered全球加密研究主管GeoffreyKendrick表示,近期ETF抛售可能与部分持有人为参与SpaceXIPO释放现金有关。美国现货比特币ETF自去年10月以来累计净流出76亿美元,其中2026年前六个月净流出30亿美元。Strategy为全球最大企业比特币持有者,持有逾80万枚比特币。MichaelSaylor在6月初恢复买入比特币,此前Strategy于5月底进行过出售。

  • NewPlay已于6月13日19:00正式上线

    2026-06-13 19:42
    据官方消息,NewPlay已于6月13日19:00(UTC+8)正式上线。 该平台由老挝国家数字科技集团(LADT)生态协同孵化落地,是集团重点推进的Web3娱乐标杆项目,同时也是专为东盟青年群体量身打造的预测市场互动娱乐产品。 平台覆盖体育赛事、世界杯赛事、加密市场动态、文娱热点等多元场景,NewPlay致力于打破传统娱乐模式,让各类全球热门事件均可成为用户参与互动、趣味博弈并可收获高价值预期的平台币newcoin积分,旨在打造轻量化、高趣味性的Web3娱乐新体验。
    • 查看更多

最新资讯

更多
更多

热门币种

  • 币种
    最新价格
    24H涨跌幅
  • bitcoin BTC 比特币

    BTC

    比特币

    $ 63962.99¥ 432652.06
    +0.25%
  • ethereum ETH 以太坊

    ETH

    以太坊

    $ 1678.2¥ 11351.51
    +0.23%
  • tether USDT 泰达币

    USDT

    泰达币

    $ 0.9994¥ 6.76
    +0.06%
  • binance-coin BNB 币安币

    BNB

    币安币

    $ 606.51¥ 4102.49
    -0.11%
  • usdc USDC USD Coin

    USDC

    USD Coin

    $ 1.0003¥ 6.7661
    -0.05%
  • ripple XRP 瑞波币

    XRP

    瑞波币

    $ 1.1481¥ 7.7658
    +0.55%
  • solana SOL Solana

    SOL

    Solana

    $ 67.7579¥ 458.32
    +1.26%
  • tron TRX 波场

    TRX

    波场

    $ 0.3168¥ 2.1428
    +1.44%
  • dogecoin DOGE 狗狗币

    DOGE

    狗狗币

    $ 0.087953¥ 0.5949
    +1.1%
  • hyperliquid HYPE Hyperliquid

    HYPE

    Hyperliquid

    $ 58.6832¥ 396.93
    -1.11%

区块链百科