Dalam edisi terakhir Panduan Perangkap Memulakan Keselamatan Web3, kami menerangkan terutamanya risiko semasa memuat turun/membeli dompet, cara mencari tapak web rasmi sebenar dan mengesahkan ketulenan dompet, dan risiko kebocoran kunci peribadi/ frasa mnemonik. Kami sering menyebut "Bukan kunci anda, bukan syiling anda", tetapi terdapat juga situasi di mana walaupun anda mempunyai kunci persendirian/frasa mnemonik, anda tidak boleh mengawal aset anda, iaitu dompet telah ditandatangani dengan berniat jahat. Digabungkan dengan borang curi MistTrack yang kami kumpulkan, selepas beberapa dompet pengguna ditandatangani dengan niat jahat, mereka tidak faham mengapa mereka masih mempunyai baki dalam akaun dompet mereka tetapi tidak dapat memindahkan dana keluar. Oleh itu, dalam isu ini, kami akan mengambil dompet TRON sebagai contoh untuk menerangkan pengetahuan berkaitan pancingan data berbilang tandatangan, termasuk mekanisme berbilang tandatangan, operasi biasa penggodam dan cara mengelakkan tandatangan berbilang berniat jahat dalam dompet.
Mari jelaskan secara ringkas apa itu multi-tandatangan Tujuan asal mekanisme berbilang tandatangan adalah untuk menjadikan dompet lebih selamat dan membolehkan berbilang pengguna mengurus dan mengawal hak akses dan penggunaan secara bersama. daripada dompet aset digital yang sama. Walaupun sesetengah pengurus kehilangan atau membocorkan kunci peribadi/frasa mnemonik, aset dalam dompet tidak semestinya akan rosak.
Sistem kebenaran berbilang tandatangan TRON direka bentuk dengan tiga kebenaran berbeza: Pemilik, Saksi dan Aktif, masing-masing dengan fungsi dan kegunaan tertentu.
Kebenaran pemilik:
Kebenaran saksi:
Kebenaran ini terutamanya berkaitan dengan Akaun Wakil Super dengan kebenaran ini boleh mengambil bahagian dalam pemilihan dan pengundian wakil super, dan menguruskan operasi yang berkaitan dengan wakil super.
Kebenaran aktif:
Digunakan untuk operasi harian, seperti memindahkan dana dan menghubungi kontrak pintar. Kebenaran ini boleh ditetapkan dan diubah suai oleh kebenaran Pemilik Ia selalunya diberikan kepada akaun yang perlu melaksanakan tugas tertentu Ia adalah koleksi beberapa operasi yang dibenarkan (seperti pemindahan TRX, aset yang dicagarkan).
Seperti yang dinyatakan di atas, apabila membuat akaun baharu, alamat akaun tersebut akan mempunyai kebenaran Pemilik (kebenaran tertinggi) secara lalai Anda boleh melaraskan struktur kebenaran akaun, memilih alamat untuk membenarkan kebenaran akaun tersebut dan. nyatakan berat saiz alamat ini dan tetapkan ambang. Ambang merujuk kepada jumlah berat penanda yang diperlukan untuk melaksanakan operasi tertentu. Dalam rajah di bawah, ambang ditetapkan kepada 2 dan berat bagi tiga alamat yang dibenarkan adalah kesemuanya 1. Apabila melakukan operasi tertentu, operasi boleh berkuat kuasa selagi terdapat pengesahan daripada 2 penandatangan.
(https://support.tronscan.org/hc/article_attachments/29939335264665)
Selepas penggodam memperoleh kunci peribadi/frasa mnemonik pengguna, jika pengguna tidak menggunakan mekanisme berbilang tandatangan (iaitu, akaun dompet hanya dikawal oleh pengguna), penggodam boleh menukar Kebenaran Pemilik/Aktif juga boleh diberikan kepada alamat sendiri atau kebenaran Pemilik/Aktif pengguna boleh dipindahkan kepada diri sendiri Kedua-dua operasi penggodam ini biasanya dipanggil berbilang tandatangan berniat jahat, tetapi sebenarnya ini adalah istilah yang luas. Malah, ia boleh dilakukan mengikut pengguna Untuk membezakan sama ada anda masih mempunyai kebenaran Pemilik/Aktif:
Dalam gambar di bawah, kebenaran Pemilik/Aktif pengguna belum telah dibuang. Walaupun pengguna memegang kunci persendirian/frasa mnemonik dan mempunyai kebenaran Pemilik/Aktif, dia tidak boleh memindahkan asetnya sendiri kerana apabila pengguna memulakan permintaan untuk memindahkan aset, kedua-dua alamat pengguna dan penggodam dikehendaki menandatangani sebelum operasi ini boleh dilaksanakan secara normal.
Walaupun operasi pemindahan aset daripada akaun berbilang tandatangan memerlukan pengesahan tandatangan berbilang pihak, tandatangan berbilang pihak tidak diperlukan untuk mendepositkan dana ke dalam akaun dompet. Jika pengguna tidak mempunyai tabiat kerap menyemak kebenaran akaun atau tidak melakukan sebarang operasi pemindahan baru-baru ini, dia secara amnya tidak akan mendapati bahawa kebenaran akaun dompetnya telah ditukar, dan dia akan terus rosak. Jika tidak terdapat banyak aset dalam dompet, penggodam mungkin mengambil pendekatan jangka panjang dan menunggu akaun itu mengumpul sejumlah aset digital sebelum mencuri semua aset digital sekaligus.
Terdapat satu lagi situasi di mana penggodam menggunakan mekanisme reka bentuk pengurusan kebenaran TRON untuk memindahkan terus kebenaran Pemilik/Aktif pengguna ke alamat penggodam (ambang masih 1), menyebabkan pengguna kehilangan Pemilik/ Kebenaran Aktif, malah "hak untuk mengundi" tidak hilang. Perlu diingatkan bahawa penggodam di sini tidak menggunakan mekanisme berbilang tandatangan untuk menghalang pengguna daripada memindahkan aset, tetapi adalah kebiasaan untuk memanggil situasi ini sebagai tandatangan berbilang dompet yang berniat jahat.
Atas ialah kandungan terperinci Panduan Permulaan Keselamatan Web3 untuk Mengelakkan Perangkap: Risiko Dompet Ditandatangani Berbilang Hasad. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Tiga rangka kerja utama untuk pembangunan android
bar skrol div
Apakah peranan kumpulan pengguna kafka
Empat ciri utama blockchain
Apakah fungsi pembinaan laman web?
Apakah perisian dreamweaver?
Bagaimana untuk mengimport telefon lama ke telefon baru dari telefon bimbit Huawei
Apakah sistem pengendalian mudah alih?
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
