دليل بدء تشغيل أمان Web3 لتجنب المخاطر ｜خطر أن تكون المحفظة متعددة التوقيعات بشكل ضار

الخلفية

في الإصدار السابق من دليل تجنب الأخطاء الأمنية لـ Web3، نحن يشرح بشكل أساسي المخاطر عند تنزيل/شراء المحافظ، وكيفية العثور على الموقع الرسمي الحقيقي والتحقق من صحة المحفظة، ومخاطر تسريب المفاتيح الخاصة/العبارات التذكيرية. غالبًا ما نقول "ليست مفاتيحك، وليست عملاتك المعدنية"، ولكن هناك أيضًا مواقف حيث حتى لو كان لديك المفتاح الخاص/العبارة التذكيرية، لا يمكنك التحكم في أصولك، أي أن المحفظة كانت متعددة التوقيعات بشكل ضار. بالإضافة إلى نماذج MistTrack المسروقة التي جمعناها، بعد أن كانت محافظ بعض المستخدمين متعددة التوقيع بشكل ضار، لم يفهموا سبب استمرار وجود أرصدة في حسابات محفظتهم ولكن لم يتمكنوا من تحويل الأموال إلى الخارج. لذلك، في هذه المشكلة، سنأخذ محفظة TRON كمثال لشرح المعرفة ذات الصلة بالتصيد الاحتيالي متعدد التوقيع، بما في ذلك آلية التوقيع المتعدد والعمليات المنتظمة للمتسللين وكيفية تجنب التوقيعات المتعددة الضارة في المحفظة.

آلية التوقيع المتعدد

دعنا نشرح بإيجاز ما هو التوقيع المتعدد. الهدف الأصلي لآلية التوقيع المتعدد هو لجعل المحفظة أكثر أمانًا، مما يسمح لعدة مستخدمين بالإدارة والتحكم بشكل مشترك في حقوق الوصول والاستخدام لنفس محفظة الأصول الرقمية. حتى لو فقد بعض المديرين أو سربوا مفاتيح خاصة/عبارات تذكيرية، فلن تتضرر الأصول الموجودة في المحفظة بالضرورة.

تم تصميم نظام أذونات التوقيع المتعدد في TRON بثلاثة أذونات مختلفة: المالك والشاهد والنشط، ولكل منها وظائف واستخدامات محددة.

أذونات المالك:

• لديه أعلى سلطة لتنفيذ جميع العقود والعمليات؛

• باستخدام هذا الإذن فقط يمكنك تعديل الأذونات الأخرى، بما في ذلك إضافة أو إزالة الموقعين الآخرين؛

• إنشاء بعد إنشاء حساب جديد، يتمتع الحساب نفسه بهذا الإذن افتراضيًا.

أذونات الشاهد:

يتعلق هذا الإذن بشكل أساسي بالممثلين المتميزين. يمكن للحسابات التي لديها هذا الإذن المشاركة في انتخاب الممثلين المتميزين والتصويت عليهم، وإدارة العمليات المتعلقة بالممثلين المتميزين.

الأذونات النشطة:

تستخدم للعمليات اليومية، على سبيل المثال. تحويل الأموال والاتصال بالعقود الذكية. يمكن تعيين هذا الإذن وتعديله من خلال إذن المالك، وغالبًا ما يتم تعيينه للحسابات التي تحتاج إلى أداء مهام محددة، وهو عبارة عن مجموعة من العمليات المعتمدة المتعددة (مثل عمليات نقل TRX والأصول المرهونة).

كما ذكرنا أعلاه، عند إنشاء حساب جديد، سيكون لعنوان الحساب أذونات المالك (أعلى الأذونات) بشكل افتراضي، ويمكنك ضبط بنية الأذونات من الحساب واختر العناوين المسموح بها للحساب، ويتم تحديد وزن هذه العناوين، وتعيين الحد. تشير العتبة إلى مقدار وزن الموقع المطلوب لإجراء عملية معينة. في الشكل أدناه، تم تعيين العتبة على 2، وأوزان العناوين الثلاثة المعتمدة كلها هي 1. عند إجراء عملية معينة، يمكن أن تصبح العملية سارية المفعول طالما أن هناك تأكيدات من موقعين اثنين.

(https://support.tronscan.org/hc/article_attachments/29939335264665)

عملية التوقيع المتعدد الضار< /h3>

بعد أن يحصل المتسلل على المفتاح الخاص/العبارة التذكيرية للمستخدم، إذا لم يستخدم المستخدم آلية التوقيع المتعدد (أي أن حساب المحفظة فقط يمكن أيضًا منح المتسلل أذونات المالك/النشطة إلى عنوانه الخاص أو يمكن نقل أذونات المالك/النشط الخاصة بالمستخدم إلى نفسه عادةً هذا مصطلح واسع في الواقع، يمكن تمييزه بناءً على ما إذا كان المستخدم لديه أيضًا أذونات المالك/النشطة:

استخدم التوقيع المتعدد. الآلية

في الصورة أدناه، لم تتم إزالة أذونات المالك/النشيطة الخاصة بالمستخدم. لقد سمح المتسلل بأذونات المالك/النشيطة الخاصة به في هذا الوقت، يتم التحكم في الحساب بشكل مشترك من قبل المستخدم والمتسلل (الحد الأدنى هو 2). على الرغم من أن المستخدم يحمل المفتاح الخاص/العبارة التذكيرية ولديه أذونات المالك/النشطة، إلا أنه لا يمكنه نقل أصوله الخاصة لأنه عندما يبدأ المستخدم طلبًا لنقل الأصول، يجب توقيع عنوان المستخدم وعنوان المتسلل قبل أن تتم هذه العملية تنفيذها بشكل طبيعي.

على الرغم من أن عملية تحويل الأصول من حساب متعدد التوقيع تتطلب تأكيد التوقيعات المتعددة الأطراف، إلا أن التوقيعات المتعددة الأطراف غير مطلوبة لإيداع الأموال في حساب المحفظة. إذا لم يكن المستخدم معتادًا على التحقق بانتظام من أذونات الحساب أو لم يقم بأي عمليات تحويل مؤخرًا، فلن يجد بشكل عام أن تفويض حساب محفظته قد تم تغييره، ومن ثم سيستمر تعرضه للتلف. إذا لم يكن هناك الكثير من الأصول في المحفظة، فقد يتخذ المتسللون نهجًا طويل المدى وينتظرون حتى يقوم الحساب بتجميع كمية معينة من الأصول الرقمية قبل سرقة جميع الأصول الرقمية مرة واحدة.

استخدام آلية تصميم إدارة الأذونات الخاصة بـTRON

الموقف الآخر هو أن المتسللين يستخدمون آلية تصميم إدارة الأذونات الخاصة بـ TRON لنقل أذونات المالك/النشط للمستخدم مباشرةً إلى عنوان المتسلل (لا يزال الحد الأدنى 1)، مما يتسبب في فقدان المستخدم لأذونات المالك/النشط وحتى "حقوق التصويت" . وتجدر الإشارة إلى أن المتسلل هنا لا يستخدم آلية التوقيع المتعدد لمنع المستخدمين من نقل الأصول، ولكن جرت العادة على تسمية هذا الوضع بالتوقيع المتعدد الضار للمحفظة.

نتائج الحالتين المذكورتين أعلاه هي نفسها. بغض النظر عما إذا كان المستخدم لا يزال لديه أذونات المالك/النشطة، فقد فقد السيطرة الفعلية على الحساب. لقد حصل عنوان المتسلل على أعلى سلطة في الحساب ويمكنه تغيير أذونات الحساب. نقل الأصول والعمليات الأخرى.

مسار التوقيع المتعدد الضار

تم جمعه بواسطة دمج MistTrack لقد قمنا بتلخيص العديد من الأسباب الشائعة التي تجعل المحافظ متعددة التوقيعات بشكل ضار ونأمل أن يكون المستخدمون أكثر يقظة عند مواجهة المواقف التالية:

1. متى. أثناء تنزيل المحفظة، فشلت في العثور على الطريقة الصحيحة، لقد قمت بالنقر فوق رابط الموقع الرسمي المزيف الذي أرسله Telegram وTwitter ومستخدمو الإنترنت، وقمت بتنزيل المحفظة المزيفة، ونتيجة لذلك، تم تسريب المفتاح الخاص/العبارة التذكيرية والمحفظة كان متعدد التوقيعات بشكل ضار.

2. أدخل المستخدمون مفاتيحهم الخاصة/عباراتهم التذكيرية في بعض مواقع إعادة الشحن الاحتيالية التي تبيع بطاقات الغاز وبطاقات الهدايا وخدمات VPN، ونتيجة لذلك فقدوا السيطرة على حسابات محفظتهم.

3. أثناء المعاملات خارج البورصة، يتم تصوير المفتاح الخاص/العبارة التذكيرية من قبل شخص متعمد أو يتم الحصول على ترخيص الحساب عن طريق بعض الوسائل. وبعد ذلك، تكون المحفظة متعددة التوقيعات بشكل ضار وتتلف الأصول.  

4. يزودك بعض المحتالين بالمفتاح الخاص/العبارة التذكيرية، قائلين إنهم لا يستطيعون سحب الأصول الموجودة في حساب المحفظة، ويمكنهم الدفع لك إذا كان بإمكانك المساعدة. على الرغم من وجود أموال بالفعل في عنوان المحفظة المقابلة للمفتاح الخاص/العبارة التذكيرية، بغض النظر عن مقدار رسوم المعالجة التي تدفعها أو مدى سرعة تحركك، لا يمكنك سحبها لأن إذن سحب العملة قد تم تعيينه لعنوان آخر بواسطة المحتال .

5. هناك أيضًا موقف نادر حيث ينقر المستخدم على رابط التصيد الاحتيالي على TRON ويوقع بيانات ضارة، ومن ثم تكون المحفظة متعددة التوقيعات بشكل ضار.

الملخص

في هذا الدليل، نأخذ بشكل أساسي محفظة TRON كمثال ونشرح الكثير آلية التوقيع، العملية والإجراءات الروتينية التي يستخدمها المتسللون لتنفيذ التوقيعات المتعددة الضارة، آمل أن أساعد الجميع على تعميق فهمهم لآلية التوقيع المتعدد وتحسين قدرتهم على منع المحافظ من أن تكون متعددة التوقيعات بشكل ضار. بالطبع، بالإضافة إلى حالات التوقيعات المتعددة الضارة، هناك أيضًا بعض الحالات الخاصة التي قد يقوم بعض المستخدمين المبتدئين بضبط محافظهم عن طريق الخطأ على التوقيع المتعدد بسبب الإهمال أو عدم الفهم، مما يؤدي إلى الحاجة إلى توقيعات متعددة لإجراء التحويلات. . في هذا الوقت، يحتاج المستخدم فقط إلى تلبية متطلبات التوقيع المتعدد أو تفويض أذونات المالك/النشط لعنوان واحد فقط في قسم إدارة الحقوق واستعادة توقيع واحد.

أخيرًا، يوصي فريق أمان SlowMist المستخدمين بالتحقق بانتظام من أذونات حساباتهم لمعرفة ما إذا كان هناك أي خلل؛ قم بتنزيل المحفظة من القناة الرسمية، نحن في  Web3 Security نبدأ في تجنب المخاطر | المحفظة المزيفة والخاصة مخاطر تسرب العبارات التذكيرية الرئيسية لقد تحدثت عن كيفية العثور على الموقع الرسمي الصحيح والتحقق من صحة المحفظة؛ لا تنقر على روابط غير معروفة، ناهيك عن إدخال المفاتيح الخاصة/وسائل التذكر بسهولة، وتثبيت برامج مكافحة الفيروسات (مثل Kaspersky وAVG وما إلى ذلك) ويخاطر التصيد الاحتيالي بحظر المكونات الإضافية (مثل Scam Sniffer) لتحسين أمان الجهاز.