TRX:安全警示｜TRX 多重签名局_onekey硬件钱包安全吗

近期，TRX多重签名局异常猖獗，子通过诱导用户下载假imToken等方式获取用户的助记词，但是却不直接将用户的资产盗走，而是通过修改用户的TRX钱包账户权限，导致用户失去对账户内资产的控制权，只能将代币转入钱包，却无法转出。

本文将揭秘TRX多重签名局具体是如何实施的，以及我们该如何防范这类局。

什么是TRX多重签名局

当我们创建了一个TRX钱包后，这个钱包账户默认的拥有者权限为账户本人，阈值为1，即钱包转账需持有一个拥有者权限的地址进行签名授权才能发起。

安全公司Unciphered破解OneKey制造的加密硬件钱包:金色财经报道，根据官方公告，安全公司 Unciphered 成功破解了 OneKey 制造的加密硬件钱包，OneKey 是一家总部位于香港的公司，去年筹集了 2000 万美元。在硬件钱包中，授予对加密资产访问权限的私钥离线存储并受物理设备保护，这使得它们更不容易受到黑客攻击或盗窃，但是 Unciphered 能够绕过 OneKey Mini 中的硬件安全机制，该公司成功实施了“中间人”钱包黑客攻击，它能够通过利用漏洞从 OneKey Mini 硬件钱包中提取助记种子短语（即私钥）。

OneKey 承认了该漏洞，表示其硬件团队已经更新了安全补丁，没有任何人受到影响，团队还向 Unciphered 支付了漏洞赏金，以感谢他们对 OneKey 安全性的贡献。[2023/2/11 12:00:19]

注：拥有者权限是指一个TRX账户的最高权限，具有该权限的地址可进行该账户内的所有操作。

Thoma Bravo将以69亿美元收购网络安全公司SailPoint:4月12日消息，据英国《金融时报》报道，美国私人股本集团Thoma Bravo将以69亿美元收购网络安全公司SailPoint Technologies。管理着逾1000亿美元资产的Thoma Bravo将以每股65.25美元的价格收购SailPoint，较其过去90天的成交量加权平均交易价格有48%的溢价。

此前消息，私募股权公司Thoma Bravo正在建立一项针对加密货币和金融科技的增长投资业务。（鞭牛士）[2022/4/12 14:19:51]

而当子获取了用户助记词，对其TRX账户权限进行修改后，用户地址的拥有者权限变为用户本人和子共同持有，阈值为2，即钱包转账需要两个拥有者权限的地址——用户的地址和子的地址，共同签名授权才能发起。

Coinbase推出智能合约安全风险自动检测和分类工具Solidify:由于Coinbase致力于扩大其支持的加密货币列表，为了简化对新上市资产的尽职调查流程，其创建了一个名为Solidify的智能合约安全工具，以帮助自动化、标准化和扩展此过程。Solidify使用大型签名数据库和模式匹配引擎来可靠地检测合约特征及其风险，对风险进行标准化的评分并生成详细报告，以帮助决定Coinbase是否应该列出该资产。Solidify可以完全自动或极少地需要人工审查来完成数百个智能合约的安全风险评估。Coinbase认为，随着加密经济的发展，像Solidify这样的工具将变得越来越重要。（Medium）[2021/6/23 0:01:15]

由于此时TRX钱包的转账需要多重签名才能完成，所以这类局被成为TRX多重签名局。

这就意味着，当用户的TRX账户被子更改为需多重签名的地址后，用户发起的任何交易，都需要子的签名授权才能完成，如果只是用户单方面发起交易，就会遇到类似「server：SIGERROR」的报错。

你可能会疑惑，为什么用户拥有自己账户的助记词/私钥，也无法「独立完成」资产的转出操作。

以合伙开公司的例子解释一下，你就明白了。假设有一家公司有两个合伙人，他们在这家公司成立之初规定：所有的重大决策要两个合作人都同意进行签名授权，即多重签名，才可以执行。若有一方不同意，决策则不通过。

被子修改为多重签名的TRX账户就像是这样一家公司，即便用户持有钱包助记词，但也已经无法「独立完成」对这个钱包的转账等重大操作。

用户只能将资产转入这个账户，却无法转出，子就是利用这一点从而「放长线钓大鱼」，等到用户在账户中积累了足够的资产后再一次性盗走。如果一个用户从来都是只收款不转账，且不去链上查看自己的账户权限，那他可能会一直蒙在鼓里并持续地向这个账户转钱。

另外，子除了通过诱导用户下载假imToken方式外，还会通过以下两类方式利用多重签名：

在Telegram等社交平台推广充值网站，诱导用户使用数字资产进行充值，实际上是趁用户充值时获取账户的拥有者权限，导致用户失去对账户的控制权；在Telegram、微信等社交平台公开自己的助记词/私钥，诱导用户转入TRX作为手续费以转走钱包内的资产，但实际子早已将拥有者权限转移，最终导致用户损失TRX。安全提醒

imToken安全团队在此提醒大家

下载imToken请认准官网：https://token.im/天下不会有免费的午餐，切莫贪小便宜定期检查TRX钱包账户权限如何查询账户权限

1.打开TRX钱包，切换至「浏览」页面输入TRONSCAN并打开。

2.在输入框输入钱包地址并搜索，跳至账户信息页面并下滑至「账户权限」板块。

3.如图所示，如果有且只有你的地址持有拥有者权限，说明你的账户权限是安全的。

标签：TRXONEOINonekeyimtoken怎么买TRX能量教程onekey硬件钱包安全吗The Reaper Coinonekey盘是什么意思

USDC热门资讯