安全警示丨注意TRX 多重籤名騙局

      近期，「TRX 多重籤名騙局」異常猖獗，欺詐者通過誘導用戶下載假冒錢包應用程序的方式，盜取錢包用戶的助記詞，雖然沒有直接將用戶在錢包應用程序內的數字資產盜走，但是欺詐者隨即通過修改該用戶 TRX 錢包的账戶權限，導致用戶失去對錢包應用程序內自有數字資產的控制權，無法自由操作、處置。

      本文將揭祕「TRX 多重籤名騙局」具體是如何實施的，以及我們該如何防範這類騙局。

什么是 「TRX 多重籤名騙局」

      擁有者權限是一個錢包账戶的最高權限，具有該權限的地址可進行該账戶內的所有操作。

      在安全情況下，當創建一個錢包账戶之後，這個錢包账戶默認的擁有者權限為用戶本人，如圖示意，此時權限閾值為 1。

      在遭遇欺詐的情況下，欺詐者竊取到該錢包用戶的助記詞 / 私鑰後，即會對該用戶錢包账戶的擁有者權限進行修改。通常，欺詐者會將原本默認為用戶本人單獨持有的擁有者權限修改為用戶本人和欺詐者共同持有的擁有者權限——如圖示意，閾值會被修改為 2，並在地址處出現 2 個地址。

      擁有者權限從閾值 1 修改為閾值 2 之後，意味着該錢包內的後續操作都需要用戶的地址和騙子的地址共同籤名授權才能發起。如果用戶本人單方面發起操作，比如嘗試進行將數字資產從錢包裏轉出的操作，就會遇到類似「server：SIGERROR」的報錯。

      但用戶向錢包账戶轉入相關數字資產時，並不受到這種「共同權限」的限制。通常，這些已同時掌握了用戶助記詞 / 私鑰的欺詐者，會等待該账戶積累了一定數字資產後，一次性盜取所有數字資產。

      以上，就是「TRX 多重籤名騙局」的欺詐過程。

      你可能會疑惑，遭遇「TRX 多重籤名騙局」後，為什么錢包用戶雖然依舊持有自己账戶的助記詞 / 私鑰，也無法「獨立完成」自有數字資產的相關操作。

      以合夥开公司的例子解釋一下，你就明白了。假設有一家公司有兩個合夥人，他們在這家公司成立之初規定：所有的重大決策要兩個合作人都同意進行籤名授權（即多重籤名）才可以執行。若有一方不同意，決策則不通過。

      被欺詐者修改為多重籤名的相關錢包账戶，就像是這樣一家必須要遵循兩個合夥人共同決策的公司，因此導致即使錢包账戶的用戶本人依舊持有助記詞/私鑰，但也無法「獨立完成」錢包账戶內自有數字資產的相關操作。

      在「TRX 多重籤名騙局」中，騙子就是利用這一特點實施最終針對數字資產的盜竊。如果用戶一直將自己的數字資產存在錢包账戶中，且從來不去鏈上檢查自己的账戶權限，那么他有可能一直不會發現自己的账戶已經遭遇欺詐，且可能會繼續把更多的數字資產向這個錢包账戶裏儲存。

      在「TRX 多重籤名騙局」中，欺詐者除了通過誘導用戶下載假冒應用程序實施詐騙，還會利用以下兩種方式，竊取用戶助記詞 / 私鑰，變更錢包用戶账戶的擁有者權限，為最終盜竊做准備，請務必警惕以下欺詐場景：

• 欺詐者在 Telegram 等社交平臺推廣充值網站，誘導用戶使用數字資產進行充值，實際上是想趁用戶充值時，獲取該用戶錢包账戶的擁有者權限，導致該用戶失去對自己錢包账戶的控制權。

• 欺詐者在 Telegram、微信等社交平臺公开自己的助記詞 / 私鑰，誘導他人使用相關數字資產作為手續費以轉走該公开錢包內的資產，但實際上，欺詐者早已將這些錢包账戶的擁有者權限進行了修改，最終導致他人均蒙受損失 。

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。