安全警示丨注意TRX 多重签名骗局

      近期，「TRX 多重签名骗局」异常猖獗，欺诈者通过诱导用户下载假冒钱包应用程序的方式，盗取钱包用户的助记词，虽然没有直接将用户在钱包应用程序内的数字资产盗走，但是欺诈者随即通过修改该用户 TRX 钱包的账户权限，导致用户失去对钱包应用程序内自有数字资产的控制权，无法自由操作、处置。

      本文将揭秘「TRX 多重签名骗局」具体是如何实施的，以及我们该如何防范这类骗局。

什么是 「TRX 多重签名骗局」

      拥有者权限是一个钱包账户的最高权限，具有该权限的地址可进行该账户内的所有操作。

      在安全情况下，当创建一个钱包账户之后，这个钱包账户默认的拥有者权限为用户本人，如图示意，此时权限阈值为 1。

      在遭遇欺诈的情况下，欺诈者窃取到该钱包用户的助记词 / 私钥后，即会对该用户钱包账户的拥有者权限进行修改。通常，欺诈者会将原本默认为用户本人单独持有的拥有者权限修改为用户本人和欺诈者共同持有的拥有者权限——如图示意，阈值会被修改为 2，并在地址处出现 2 个地址。

      拥有者权限从阈值 1 修改为阈值 2 之后，意味着该钱包内的后续操作都需要用户的地址和骗子的地址共同签名授权才能发起。如果用户本人单方面发起操作，比如尝试进行将数字资产从钱包里转出的操作，就会遇到类似「server：SIGERROR」的报错。

      但用户向钱包账户转入相关数字资产时，并不受到这种「共同权限」的限制。通常，这些已同时掌握了用户助记词 / 私钥的欺诈者，会等待该账户积累了一定数字资产后，一次性盗取所有数字资产。

      以上，就是「TRX 多重签名骗局」的欺诈过程。

      你可能会疑惑，遭遇「TRX 多重签名骗局」后，为什么钱包用户虽然依旧持有自己账户的助记词 / 私钥，也无法「独立完成」自有数字资产的相关操作。

      以合伙开公司的例子解释一下，你就明白了。假设有一家公司有两个合伙人，他们在这家公司成立之初规定：所有的重大决策要两个合作人都同意进行签名授权（即多重签名）才可以执行。若有一方不同意，决策则不通过。

      被欺诈者修改为多重签名的相关钱包账户，就像是这样一家必须要遵循两个合伙人共同决策的公司，因此导致即使钱包账户的用户本人依旧持有助记词/私钥，但也无法「独立完成」钱包账户内自有数字资产的相关操作。

      在「TRX 多重签名骗局」中，骗子就是利用这一特点实施最终针对数字资产的盗窃。如果用户一直将自己的数字资产存在钱包账户中，且从来不去链上检查自己的账户权限，那么他有可能一直不会发现自己的账户已经遭遇欺诈，且可能会继续把更多的数字资产向这个钱包账户里储存。

      在「TRX 多重签名骗局」中，欺诈者除了通过诱导用户下载假冒应用程序实施诈骗，还会利用以下两种方式，窃取用户助记词 / 私钥，变更钱包用户账户的拥有者权限，为最终盗窃做准备，请务必警惕以下欺诈场景：

• 欺诈者在 Telegram 等社交平台推广充值网站，诱导用户使用数字资产进行充值，实际上是想趁用户充值时，获取该用户钱包账户的拥有者权限，导致该用户失去对自己钱包账户的控制权。

• 欺诈者在 Telegram、微信等社交平台公开自己的助记词 / 私钥，诱导他人使用相关数字资产作为手续费以转走该公开钱包内的资产，但实际上，欺诈者早已将这些钱包账户的拥有者权限进行了修改，最终导致他人均蒙受损失 。

郑重声明：本文版权归原作者所有，转载文章仅为传播信息之目的，不构成任何投资建议，如有侵权行为，请第一时间联络我们修改或删除，多谢。