위험을 피하기 위한 Web3 보안 시작 가이드: 지갑이 악의적으로 다중 서명될 위험-웹3.0-php.cn

위험을 피하기 위한 Web3 보안 시작 가이드: 지갑이 악의적으로 다중 서명될 위험

PHPz

풀어 주다： 2024-07-26 17:01:20

원래의

671명이 탐색했습니다.

Background

Web3 보안 시작하기 함정 가이드 지난 호에서는 지갑을 다운로드/구매할 때의 위험성, 실제 공식 웹사이트를 찾아 지갑의 진위를 확인하는 방법, 개인 키 유출 위험에 대해 주로 설명했습니다/ 니모닉 문구. 우리는 종종 "당신의 키가 아니라 당신의 코인이 아니다"라고 말하지만, 개인키/니모닉 문구가 있어도 자산을 통제할 수 없는 상황, 즉 지갑이 악의적으로 다중 서명되는 경우도 있습니다. 우리가 수집한 MistTrack 도난 양식과 결합하여 일부 사용자의 지갑이 악의적으로 다중 서명된 후 지갑 계정에 잔액이 남아 있지만 자금을 이체할 수 없는 이유를 이해하지 못했습니다. 따라서 이번 호에서는 TRON 지갑을 예로 들어 다중 서명 메커니즘, 해커의 일반적인 작업 및 지갑에서 악의적인 다중 서명을 방지하는 방법을 포함하여 다중 서명 피싱에 대한 관련 지식을 설명합니다.

Web3 安全入门避坑指南：钱包被恶意多签风险

다중 서명 메커니즘

다중 서명 메커니즘의 원래 의도는 지갑을 더욱 안전하게 만들고 여러 사용자가 액세스 및 사용 권한을 공동으로 관리하고 제어할 수 있도록 하는 것입니다. 동일한 디지털 자산 지갑. 일부 관리자가 개인키/니모닉 문구를 분실하거나 유출하더라도 지갑에 있는 자산이 반드시 손상되는 것은 아닙니다.

TRON의 다중 서명 권한 시스템은 소유자, 증인 및 활성의 세 가지 권한으로 설계되었으며 각 권한은 특정 기능과 용도를 가지고 있습니다.

소유자 권한:

모든 계약 및 작업을 실행할 수 있는 최고 권한을 가집니다.
이 권한이 있어야만 다른 서명자를 추가하거나 제거하는 등 다른 권한을 수정할 수 있습니다.
새 계정을 만든 후에는 해당 계정을 소유하게 됩니다. 기본적으로 계정 자체에 의해 이 권한이 부여됩니다.

증인 권한:

이 권한은 주로 슈퍼 대표와 관련된 권한입니다. 이 권한이 있는 계정은 슈퍼 대표의 선거 및 투표에 참여하고 슈퍼 대표와 관련된 운영을 관리할 수 있습니다.

활성 권한:

자금 이체, 스마트 계약 호출 등 일상적인 작업에 사용됩니다. 이 권한은 소유자 권한에 의해 설정 및 수정될 수 있습니다. 이는 특정 작업을 수행해야 하는 계정에 할당되는 경우가 많습니다(TRX 전송, 담보 자산 등).

위에서 언급했듯이 새 계정을 만들 때 계정 주소에는 기본적으로 소유자 권한(가장 높은 권한)이 부여됩니다. 계정의 권한 구조를 조정하고 계정 권한을 부여할 주소를 선택할 수 있습니다. 이러한 주소의 가중치를 지정하고 임계값을 설정합니다. 임계값은 특정 작업을 수행하는 데 필요한 서명자 가중치를 나타냅니다. 아래 그림에서는 임계값이 2로 설정되어 있으며 승인된 3개의 주소의 가중치는 모두 1입니다. 특정 작업을 수행할 때 2명의 서명자의 확인이 있어야 작업이 적용됩니다.

Web3 安全入门避坑指南：钱包被恶意多签风险

(https://support.tronscan.org/hc/article_attachments/29939335264665)

로그인 후 복사

악성 다중 서명 과정

해커가 사용자의 개인 키/니모닉 문구를 획득한 후 사용자가 다중 서명 메커니즘을 사용하지 않는 경우(즉, 지갑 계정은 해당 사용자에 의해서만 제어됩니다. 사용자), 해커가 소유자/활성 권한을 자신의 주소로 변경할 수도 있고 사용자의 소유자/활성 권한을 자신에게 양도할 수도 있습니다. 소유자/활성 권한이 아직 있는지 구별하려면:

다중 서명 메커니즘을 사용하세요

아래 그림에서 사용자의 소유자/활성 권한은 없습니다. 해커는 자신의 주소에 대한 소유자/활성 권한을 승인했습니다. 현재 계정은 해커와 공동으로 제어되는 사용자가 소유하고 있으며(임계값은 2), 사용자 주소와 해커 주소의 가중치는 1입니다. 사용자가 개인 키/니모닉 문구를 보유하고 소유자/활성 권한이 있지만 사용자가 자산 전송 요청을 시작할 때 이 작업을 수행하기 전에 사용자와 해커의 주소가 모두 서명해야 하기 때문에 자신의 자산을 전송할 수 없습니다. 정상적으로 실행되었습니다.

Web3 安全入门避坑指南：钱包被恶意多签风险

다중 서명 계좌에서 자산을 이체하려면 다자 서명 확인이 필요하지만 지갑 계좌에 자금을 입금하는 데는 다자 서명이 필요하지 않습니다. 사용자가 정기적으로 계정 권한을 확인하는 습관이 없거나 최근 이체 작업을 수행하지 않은 경우 일반적으로 지갑 계정의 권한이 변경되었음을 발견하지 못하고 계속 피해를 입을 것입니다. 지갑에 자산이 많지 않은 경우 해커는 장기적인 접근 방식을 취하여 모든 디지털 자산을 한꺼번에 훔치기 전에 계정에 일정량의 디지털 자산이 축적될 때까지 기다릴 수 있습니다.

TRON의 권한 관리 설계 메커니즘 사용

해커가 TRON의 권한 관리 설계 메커니즘을 사용하여 사용자의 소유자/활성 권한을 해커 주소(임계값은 여전히 1)로 직접 전송하여 사용자가 소유자/활성 권한을 잃게 만드는 또 다른 상황이 있습니다. 활성 권한은 물론 "투표권"도 사라졌습니다. 여기서 해커는 사용자가 자산을 전송하는 것을 방지하기 위해 다중 서명 메커니즘을 사용하지 않지만 이 상황을 지갑의 악의적인 다중 서명이라고 부르는 것이 일반적입니다.

Web3 安全入门避坑指南：钱包被恶意多签风险