Кошелек TRON с мультиподписью: как распознать мошенничество и не потерять деньги

Популярность блокчейнов растет с каждым годом, и проблема безопасности цифровых активов становится все актуальнее вслед за ней. В этой связи такая мера безопасности, как механизм мультиподписи (multisig), получает больше внимания и признания со стороны пользователей. Эта система позволяет множеству пользователей управлять одним кошельком, так как совершение транзакции требует несколько подписей. Ее можно сравнить с сейфом, для открытия которого нужно больше одного ключа: содержимое сейфа доступно, только когда начинают сотрудничать несколько владельцев ключей.

Кошельки TRON защищают активы пользователей с помощью поддержки транзакции с помощью мультиподписи. Тем не менее, они неизбежно становятся целью мошенников: злоумышленники ищут уязвимости в технологии, намереваясь украсть чужие средства. В этой статье мы подробно разберем применение мультиподписи в кошельках TRON и объясним, как оградить себя от потери активов.

Если кратко

• Несмотря на то, что технология мультиподписи призвана повысить безопасность кошельков в экосистеме TRON, есть риск ее злонамеренного использования со стороны мошенников.

• В качестве дополнительного уровня безопасности, вы можете настроить кошельки с мультиподписью таким образом, чтобы для совершения транзакции требовалось больше одного закрытого ключа.

• Кошельки с мультиподписью — это альтернатива кошелькам с одиночной подписью, которые санкционируют транзакции с помощью одного закрытого ключа.

• Типичное мошенничество с использованием мультиподписи в TRON выглядит так: недобросовестные пользователи пытаются убедить своих жертв отправить токены TRX, потому что они якобы нужны им для оплаты комиссии за транзакцию. Другой возможный сценарий: жертв обманом вынуждают раскрыть свои закрытые ключи или сид-фразы, а потом меняют механизм подписи и получают полный контроль над активами.

• Вы сможете защитить свой кошелек TRON от атак мошенников, если не будете разглашать свои закрытые ключи и переходить по подозрительным ссылкам, не забудете почаще проверять разрешения учетной записи для нежелательных адресов и не станете загружать ПО кошелька из неофициальных источников.

Различия между кошельками с одиночной подписью и мультиподписью

В криптовалютных сетях обычные транзакции называются транзакциями с одиночной подписью, потому что для их совершения нужна лишь одна подпись. Кошельки с одиночной подписью также подтверждают транзакции с помощью лишь одного закрытого ключа. Это делает их более легкими в обращении для физических лиц. Они подходят для транзакций, не требующих одобрения нескольких лиц.

Однако существуют и блокчейны с поддержкой технологии множества подписей (multisig), наподобие TRON. Кошелек с мультиподписью предполагает управление счетом при помощи множества закрытых ключей. Для отправки транзакции необходимо, чтобы ее «подписало» несколько пользователей. Каждый подписант в такой системе имеет собственный вес, отражающий его важность для процесса транзакции. Транзакция будет одобрена, когда суммарный вес подписантов достигнет установленного порога. Например, если значение порога установлено на 2, то для совершения транзакции нужно одобрение одного подписанта с весом, равным 2+, или нескольких с весом, равным 1. Количество необходимых подписей зависит от порога. Его можно настроить в соответствии с конкретной ситуацией.

Почему кошелек TRON стал требовать несколько подписей?

Мы изучили ситуации разных пользователей и выделили несколько причин ненамеренного включения мультиподписи.

1. Активация мультиподписи в результате ошибки пользователя

• Некоторые пользователи могут случайно включить мультиподпись во время изучения программных возможностей своих кошельков. Потом они захотят перевести активы и не смогут этого сделать, так как система начнет требовать подписи от по крайней мере двух адресов кошельков.

• Решение. Причина ошибки кроется в действиях пользователя. Активам ничего не угрожает, и надо будет лишь удовлетворить требованиям мультиподписи или вновь разрешить одиночную подпись.

2. Импорт закрытых ключей или сид-фраз из Интернета

• Пользователи могут импортировать закрытые ключи или сид-фразы из онлайн-источников и не подозревать, что в этих кошельках уже включена мультиподпись. При попытке перевести активы они обнаружат, что система требует больше одной подписи.

• Решение. Не импортируйте закрытые ключи или сид-фразы из непроверенных источников. Убедитесь, что доверяете ресурсу, от которого получаете закрытые ключи и сид-фразы.

3. Утечка закрытых ключей и сид-фраз в руки мошенников

• Пользователи могут невольно раскрыть мошенникам свои закрытые ключи или сид-фразы. В свою очередь, злоумышленники включают мультиподпись, лишая владельца возможности единолично пользоваться своим кошельком.

• Решение. Никогда не передавайте свои закрытые ключи и сид-фразы другим людям, даже если они представляются сотрудниками технической поддержки или друзьями. Храните эти конфиденциальные данные в безопасном месте, к которому имеете доступ только вы.

You can view the addresses of authorized signers using the TRON block explorer

4. Переход по вредоносным ссылкам от третьей стороны

• Пользователи нажимают на фишинговые ссылки, в результате чего у их кошельков меняется политика разрешений. Мошенники создают сайты с предложениями о подарочных картах или депозитах, чтобы жертвы переходили по ссылкам и совершали покупки. В таких сайтах заложен код, способный злонамеренно изменять конфигурацию разрешений. Как только пользователи вводят свой пароль для подтверждения транзакции, настраивается мультиподпись, и мошенники получают контроль над их кошельками.

• Решение. Не переходите по ссылкам из непроверенных источников. Регулярно проверяйте настройки разрешений на своем кошельке, чтобы не допустить «привязки» посторонних аккаунтов к мультиподписи.

Be cautious by regularly checking that no authorized accounts have been added as a multisig account

Распространенные виды мошенничества с помощью мультиподписи

Ниже перечислены несколько стратегий, которые преступники могут использовать, чтобы получить доступ к вашим активам через мультиподпись.

1. Мошенничество с закрытом ключом или сид-фразой

• Мошенники отправляют сообщение, содержащее закрытые ключи или сид-фразы от их кошельков с активами. Они просят о помощи, так как им якобы не хватает TRX (токен сети TRON) для оплаты комиссии за транзакцию. Для помощи с оплатой жертвы могут отправить TRX на предоставленный кошелек, однако выяснится, что у них нет разрешения на вывод активов.

• Пример: С недавних пор некоторые пользователи X и Telegram начали получать подобные просьбы от мошенников: «На моем кошельке лежит 100- 1000 USDT, но мне не хватает TRX на оплату комиссии. Вот адрес моего кошелька, закрытый ключ и сид-фраза. Если поможете перевести средства, я отправлю вам пару сотен USDT в качестве благодарности». Жертва принимает владельца кошелька за новичка и соглашается помочь. Когда она импортирует закрытый ключ или сид-фразу, то может видеть активы на балансе, но их не получится перевести. Мошенник поясняет, что нужны TRX для оплаты комиссии за транзакцию, но даже после отправки токенов перевод отклоняется. Дело в том, что кошелек изначально был с мультиподписью: жертва обмана не обладает правами на единоличный вывод активов.

2. Мошенничество с утечкой закрытого ключа или сид-фразы

• Закрытые ключи и сид-фразы пользователей попадают в руки мошенникам, после чего те самостоятельно изменяют конфигурацию подписи. Когда пользователи пытаются перевести активы, выясняется, что транзакции теперь требуют несколько подписей. Мошенники получают контроль над кошельком.

• Пример: Выяснив сид-фразу или закрытый ключ пользователя, мошенники могут изменить настройки разрешений таким образом, чтобы кошелек совместно управлялся пользователем и мошенниками. Мошенник устанавливает пороговое значение, равное 3, а также присуждает вес себе (2) и пользователю (1). Владельцу кошелька не хватает полномочий осуществлять транзакции в одиночку, так как ему не хватает веса. В свою очередь, обладающий большим значением веса мошенник может свободно выводить активы из кошелька. Включение мультиподписи можно даже не заметить, пока вы не захотите воспользоваться кошельком, но к тому времени ваши средства уже могут быть под угрозой.

Как понять, что в вашем кошельке TRON включена мультиподпись?

1. Воспользуйтесь обозревателем блокчейна TRON. Введите адрес кошелька в строку поиска и проверьте наличие у других аккаунтов (кроме вашего) прав владельца (Owner Permission) или активных разрешений (Active Permission).

The TRON block explorer is a useful tool when managing authorized accounts related to a wallet

2. Проверьте разрешения аккаунта. Просмотрите настройки разрешений в приложении кошелька TRON.

You can check account permissions directly in the TRON wallet app

Как избежать мошенничества с мультиподписью

1. Берегите тайну своих закрытых ключей и сид-фраз. Никогда и никому не передавайте эту конфиденциальную информацию.

2. Не переходите по подозрительным ссылкам. Не нажимайте на ссылки из незнакомых источников, особенно если они маскируются под ссылки для транзакций или авторизации.

3. Регулярно проверяйте разрешения аккаунта. Посторонние адреса не должны быть связаны с вашим аккаунтом с мультиподписью. Отключайте любые кошельки, механизм мультиподписей которых скомпрометирован участием сторонних аккаунтов.

4. Используйте только официальные источники. Загружайте ПО кошельков только из проверенных источников и не используйте программы неизвестного происхождения.

Заключение

Механизм мультиподписи — это эффективная мера безопасности, но мы советуем не забывать о возможных рисках и призываем защищать свои закрытые ключи и сид-фразы. Чтобы эффективнее оберегать свои цифровые активы и избегать ловушек, стоит разобраться в механизме мультиподписи и распространенных мошеннических схемах. Давайте продолжим совместными усилиями защищать наши цифровые активы, оставаться бдительными и укреплять безопасность криптомира.