什么是TRX钱包账户权限更改局?
区块链行业兴起以来,不乏盗币、等安全事件。比如代币授权局、假官网和假应用,以及钓鱼链接等,子利用普通人的知识盲区设计了各种圈套,令人防不胜防。
近期子套路全新升级,竟将自己的助记词公之于众来诱用户。这究竟是什么情况,本文我们将来揭秘一种新局:账户权限更改局。
5月中旬起,多名imToken用户反馈,TRX钱包在转账时会出现乱码报错的提示。
FBI发布最新DeFi投资者安全提醒:8月30日消息,美国联邦调查局 (FBI) 针对 DeFi 投资者发布了最新安全提醒,在 FBI 互联网犯罪投诉中心发布的公共服务公告中,该机构表示 DeFi 漏洞会导致投资者蒙受损失建议投资者在使用 Defi 平台之前对其进行认真研究,因为“开源代码存储库允许所有人不受限制地访问,包括那些怀有邪恶意图的人”,此外 FBI 还敦促 DeFi 平台改进监控和代码测试,同时通过定期测试代码以识别漏洞,以及实时分析和监控来提高安全性。[2022/8/30 12:57:47]
通过查询链上数据,我们发现这些用户地址都有一个共同点,即有下图中「更新账户权限」的交易记录。
DeFi安全提供商Sherlock拟融资1亿美元:3月3日消息,Sherlock 是一家承诺保护加密项目免受智能合约黑客攻击的安全初创公司,宣布将于北京时间 3 月 8 日 0 时启动公募并计划募资 1 亿美元。
Sherlock 透露,启动公募的原因是希望让更多人能够参与投资,而不是仅限于风险投资机构和天使投资人。据悉,只要用户拥有与 WalletConnect 兼容的钱包,并且至少有 250 美元的 ETH 作为储备金就可参与融资。(The Block)[2022/3/3 13:35:38]
点开这笔交易查看详情,可以看到「发起地址」把「拥有者权限」转给了地址B。这意味着,发起地址如果想要转账,需要得到地址B的同意。
动态 | 安全提醒:谷歌搜索页面显示冒充Ledger钱包官网的钓鱼网站:Ledger钱包是最受欢迎的比特币硬件钱包之一,Bitcoin Exchange Guide团队发现,Google搜索结果页面上出现新的钓鱼网站,者瞄准Ledger用户,试图在网上窃取用户的私钥。如果搜索Ledger官网(Ledger.com)的人不小心漏掉字母,输入Ledger.co会显示两个可疑网站:付费广告Leedger.info和克隆网站Ledger.co,后者试图说服用户输入恢复种子(创建Ledger钱包时设置的12或24个单词的助记词),如果用户将恢复种子输入Ledger.co,那么钱几乎肯定会被盗。第一个网站Leedger.info重定向到第二个欺诈性网站Ledger.co,可能是同一伙子。(Bitcoin Exchange Guide)[2019/11/20]
这里的「发起地址」是指用户的TRX钱包账户,一个账户通常包含两种权限:「拥有者权限」和「活跃权限」。
拥有者权限是账户的最高权限,具有该权限的地址可进行该账户内的所有操作;活跃权限提供某些操作的组合,比如你可设置一个活跃权限仅能执行TRX转账、冻结资产的操作。由于用户的TRX钱包地址更新了账户权限,将自身账户的最高权限,即拥有者权限,转给了另一个地址B,所以后续用户的地址发起转账时收到了报错提示。
那么用户的钱包地址怎么会无故出现「更新账户权限」的情况?
根据用户反馈,我们了解到这些钱包的助记词并不是用户自己的,而是别人给他们的。
比如,用户小王借给网友1000元,网友表示可以用自己的加密货币来交换,就给了小王一套钱包助记词。
小王导入助记词后,成功进入钱包页面并看到了资产,但要发起转账时,却出现了开头提到的的报错情况,这才意识到,自己可能被了,但资产已经有去无回了。
网友在给小王助记词之前,进行了「更新账户权限」的操作。即便你拥有助记词也无法转账,因为账户的最高权限在子网友手里,资产依旧由子掌控。
除了通过助记词抵债来行,子还会通过诱导用户下载假imToken等方式窃取助记词并更改用户的TRX钱包账户权限,导致用户失去账户的控制权。用户只能将代币转入钱包,却无法转出。
安全提醒:
如有人向你借钱并提出用助记词抵债,请提高警惕,对方很有可能是子!下载imToken请认准我们的官网https://token.im,并妥善保管助记词,避免泄漏。最后,如果你已经遭遇了上文中的局,请立即前往当地派出所、局报警立案,有任何问题,都可以通过发送邮件至联系我们。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。