ANKR:安全提醒｜请警惕 TRX 钱包账户权限更改局_NEAR

什么是TRX钱包账户权限更改局？

区块链行业兴起以来，不乏盗币、等安全事件。比如代币授权局、假官网和假应用，以及钓鱼链接等，子利用普通人的知识盲区设计了各种圈套，令人防不胜防。

近期子套路全新升级，竟将自己的助记词公之于众来诱用户。这究竟是什么情况，本文我们将来揭秘一种新局：账户权限更改局。

5月中旬起，多名imToken用户反馈，TRX钱包在转账时会出现乱码报错的提示。

Near安全提醒：Mailchimp漏洞或将影响Near网页钱包:1月17日消息，Near向用户发送安全提醒邮件，称Mailchimp上一安全事故或将影响Near生态安全。此前报道，1月12日，Near的外部邮件管理工具之一Mailchimp出现系统漏洞，或将对Near网页钱包安全造成影响。[2023/1/17 11:15:40]

通过查询链上数据，我们发现这些用户地址都有一个共同点，即有下图中「更新账户权限」的交易记录。

Ankr发布安全提醒：谨防虚假账户:金色财经报道，在Ankr宣布将重新空投新代币ankrBNB后，该项目在社交媒体发布安全提醒，请用户谨防冒充 Ankr 的虚假账户，Ankr目前仅有两个推特账户@Ankr和@AnkrStaking，而且群组和管理员永远不会主动给用户发送私信。[2022/12/4 21:22:02]

点开这笔交易查看详情，可以看到「发起地址」把「拥有者权限」转给了地址B。这意味着，发起地址如果想要转账，需要得到地址B的同意。

慢雾安全提醒：Rabby钱包项目Swap合约存在外部调用风险，请迅速取消授权:金色财经报道，据慢雾安全团队情报,2022年10月11号,ETH链上的Rabby钱包项目的Swap合约被攻击,其合约中代币兑换函数直接通过OpenZeppelin Addresslibrary中的functionCallWith Value函数进行外部调用，而调用的目标合约以及调用数据都可由用户传入，但合约中并未对用户传入的参数进行检查，导致了任意外部调用问题。攻击者利用此问题窃取对此合约授权过的用户的资金。慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权并提取资金以规避风险。

截止目前，Rabby Swap事件黑客已经获利超19万美元，资金暂时未进一步转移。黑客地址的手续费来源是Tornado Cash 10 BNB，使用工具有Multichain、ParaSwap、PancakeSwap、Uniswap V3、TraderJoe。慢雾MistTrack将持续监控黑客地址并分析相关痕迹。[2022/10/11 10:31:18]

这里的「发起地址」是指用户的TRX钱包账户，一个账户通常包含两种权限：「拥有者权限」和「活跃权限」。

拥有者权限是账户的最高权限，具有该权限的地址可进行该账户内的所有操作；活跃权限提供某些操作的组合，比如你可设置一个活跃权限仅能执行TRX转账、冻结资产的操作。由于用户的TRX钱包地址更新了账户权限，将自身账户的最高权限，即拥有者权限，转给了另一个地址B，所以后续用户的地址发起转账时收到了报错提示。

那么用户的钱包地址怎么会无故出现「更新账户权限」的情况？

根据用户反馈，我们了解到这些钱包的助记词并不是用户自己的，而是别人给他们的。

比如，用户小王借给网友1000元，网友表示可以用自己的加密货币来交换，就给了小王一套钱包助记词。

小王导入助记词后，成功进入钱包页面并看到了资产，但要发起转账时，却出现了开头提到的的报错情况，这才意识到，自己可能被了，但资产已经有去无回了。

网友在给小王助记词之前，进行了「更新账户权限」的操作。即便你拥有助记词也无法转账，因为账户的最高权限在子网友手里，资产依旧由子掌控。

除了通过助记词抵债来行，子还会通过诱导用户下载假imToken等方式窃取助记词并更改用户的TRX钱包账户权限，导致用户失去账户的控制权。用户只能将代币转入钱包，却无法转出。

安全提醒：

如有人向你借钱并提出用助记词抵债，请提高警惕，对方很有可能是子！下载imToken请认准我们的官网https://token.im，并妥善保管助记词，避免泄漏。最后，如果你已经遭遇了上文中的局，请立即前往当地派出所、局报警立案，有任何问题，都可以通过发送邮件至联系我们。

标签：ANKRANKSWAPNEARBANKR币lbank公司在哪uniswap币总量有多少near币发行总量

以太坊价格热门资讯