Learn
Guia do iniciante para a segurança da Web3: Risco de carteira sendo maliciosamente multi-assinada

Guia do iniciante para a segurança da Web3: Risco de carteira sendo maliciosamente multi-assinada

9/12/2024, 2:42:43 PM
iniciantes
TutorialCarteira
Neste guia, usamos a carteira TRON como exemplo para explicar o conceito de phishing de multissig, os mecanismos de sistemas multissig, táticas comuns usadas por hackers e estratégias para evitar que sua carteira seja configurada maliciosamente com multissig.

Antecedentes

Na parcela anterior do Guia de Segurança Web3, discutimos os riscos associados ao download ou compra de carteiras, como encontrar sites oficiais, métodos para verificar a autenticidade das carteiras e os perigos de vazamentos de chave privada / frase semente. A frase “Not your keys, not your coins” enfatiza a importância de controlar suas chaves privadas. No entanto, existem situações em que mesmo possuindo as chaves privadas ou frases semente não garante o controle sobre seus ativos, como quando uma carteira é comprometida por uma configuração de multisig malicioso.

Com base nos dados coletados do relatório de fundos roubados da MistTrack, alguns usuários descobrem que suas carteiras contêm fundos, mas não podem transferi-los devido a configurações maliciosas de multisignature. Neste guia, usamos a carteira TRON como exemplo para explicar o conceito de phishing de multisignature, a mecânica dos sistemas de multisignature, táticas comuns usadas por hackers e estratégias para evitar que sua carteira seja configurada maliciosamente com configurações de multisignature.

Mecanismo de Multisignatura

Um mecanismo de multisignatura (multisig) foi projetado para aumentar a segurança da carteira permitindo que vários usuários gerenciem e controlem coletivamente o acesso à carteira de ativos digitais. Esse tipo de configuração significa que mesmo se alguns gerentes perderem ou vazarem suas chaves privadas/frases semente, os ativos dentro da carteira podem permanecer seguros.

O sistema de assinatura múltipla da TRON inclui três níveis distintos de permissão: Proprietário, Testemunha e Ativo, cada um com funções e objetivos específicos.

Permissões do Proprietário:

  • Detém o mais alto nível de autoridade, capaz de executar todos os contratos e operações.

  • Apenas um proprietário pode modificar outras permissões, incluindo adicionar ou remover signatários.

  • Quando uma nova conta é criada, a própria conta é atribuída por padrão a permissão de proprietário.

Permissões de Testemunha:

  • Principalmente associada aos Super Representantes, essa permissão permite que uma conta participe dos processos de eleição e votação para Super Representantes, além de gerenciar operações relacionadas a eles.

Permissões Ativas:

  • Usado para operações diárias como transferências e execução de contratos inteligentes. O proprietário pode definir e modificar essas permissões, geralmente atribuindo-as a contas que precisam realizar tarefas específicas. As permissões ativas englobam uma variedade de ações autorizadas, como transferências de TRX e staking de ativos.

Como mencionado anteriormente, o endereço de uma nova conta recebe automaticamente permissões de proprietário (o nível mais alto) por padrão. Esse proprietário pode então ajustar a estrutura de permissões da conta, decidindo quais endereços receberão permissões, o peso dessas permissões e definindo os limites. O limite determina o peso necessário das assinaturas para executar ações específicas. Por exemplo, se o limite for definido como 2 e cada um dos três endereços autorizados tiver um peso de 1, pelo menos duas assinaturas devem aprovar para que a operação prossiga.

O Processo de Multisignatura Maliciosa

Quando um hacker obtém a chave privada ou frase-semente de um usuário e o usuário não implementou um mecanismo de multiautorização (significando que a carteira é controlada exclusivamente pelo usuário), o hacker pode conceder a si mesmo permissões de Proprietário/Ativo ou transferir as permissões de Proprietário/Ativo do usuário para seu próprio endereço. Essas ações são comumente referidas como multiautorização maliciosa, mas esse termo pode ser amplamente definido. Na realidade, a situação pode ser categorizada com base em se o usuário ainda retém alguma permissão de Proprietário/Ativo:

Explorando o Mecanismo Multisignature

No cenário descrito abaixo, as permissões Proprietário/Ativo do usuário não foram removidas; em vez disso, o hacker adicionou seu próprio endereço como um Proprietário/Parte Ativa autorizado. A conta agora é controlada conjuntamente pelo usuário e pelo hacker, com o limite definido em 2. Tanto o endereço do usuário quanto o do hacker têm peso 1. Apesar de o usuário possuir a chave privada/frase semente e reter permissões de Proprietário/Ativo, ele não pode transferir seus ativos. Isso porque qualquer pedido de transferência de ativos requer a aprovação tanto do usuário quanto do hacker, já que ambas as assinaturas são necessárias para que a operação prossiga.

Embora o processo de transferência de ativos de uma carteira multi-assinatura exija várias assinaturas, o depósito de fundos na carteira não exige. Se os usuários não verificarem regularmente as permissões de sua conta ou não fizerem transferências recentes, eles podem não perceber alterações nas permissões de sua carteira, o que pode resultar em perdas prolongadas. Se a carteira contiver apenas uma pequena quantidade de ativos, os hackers podem esperar até que a conta acumule mais ativos antes de roubar tudo de uma vez.

Explorando o Sistema de Gerenciamento de Permissão da TRON

Em outro cenário, os hackers exploram o sistema de gerenciamento de permissões da TRON, transferindo diretamente as permissões do Proprietário/Ativo do usuário para o endereço do hacker, com o limite ainda definido em 1. Essa ação retira do usuário suas permissões de Proprietário/Ativo, removendo efetivamente seu controle sobre a conta, inclusive os 'direitos de voto'. Embora isso não seja tecnicamente um caso de multisignature malicioso, é comumente referido como tal.

Em ambos os casos, quer o utilizador retenha ou não quaisquer permissões de Proprietário/Ativo, perde o controlo efetivo sobre a conta. O hacker, agora possuindo as permissões mais elevadas, pode alterar as definições da conta e transferir ativos, deixando o proprietário legítimo incapaz de gerir sua carteira.

Métodos de Ataques Maliciosos de Multisig

Com base nos dados coletados do relatório de fundos roubados da MistTrack, identificamos várias causas comuns de ataques maliciosos de multisig. Os usuários devem estar atentos nas seguintes situações:

  1. Baixando Carteiras Falsas: Os usuários podem baixar carteiras falsas clicando em links para sites fraudulentos enviados via Telegram, Twitter ou outras fontes. Isso pode levar ao vazamento de chaves privadas ou frases-semente, resultando em ataques maliciosos de multiassinatura.

  2. Inserindo Chaves Privadas em Sites de Phishing: Usuários que inserem suas chaves privadas ou frases de acesso em sites de phishing que oferecem serviços como cartões de combustível, cartões-presente ou VPNs podem perder o controle de suas carteiras.

  3. Negociação OTC: Durante transações OTC (over-the-counter), alguém pode capturar ou adquirir de outra forma as chaves privadas ou permissões do usuário, levando a um ataque de multiautorização malicioso.

  4. Fraudes envolvendo chaves privadas: Os golpistas podem fornecer uma chave privada, alegando que não podem sacar ativos e oferecendo uma recompensa para obter assistência. Embora a carteira associada pareça ter fundos, as permissões de saque estão configuradas para outro endereço, impedindo qualquer transferência.

  1. Links de phishing no TRON: Os usuários podem clicar em links de phishing no TRON e assinar dados maliciosos, resultando em uma configuração maliciosa de multisig.

Conclusão

Neste guia, usamos a carteira TRON como exemplo para explicar o mecanismo de multiassinatura, como os hackers conduzem ataques maliciosos de várias assinaturas e as táticas comuns usadas. Essas informações visam aprimorar a compreensão e melhorar a prevenção contra ataques maliciosos de várias assinaturas. Além disso, alguns usuários, especialmente iniciantes, podem acidentalmente configurar suas carteiras para multiassinatura, exigindo várias assinaturas para transferências. Nesses casos, os usuários precisam atender aos requisitos de multiassinatura ou reverter para uma única assinatura atribuindo permissões de Proprietário/Ativo a apenas um endereço.

Aviso Legal:

  1. Este artigo é reproduzido a partir de []. Todos os direitos autorais pertencem ao autor original [**]. Se houver objeções a esta reprodução, entre em contato com o Gate Learnequipe, e eles lidarão com isso prontamente.
  2. Isenção de Responsabilidade: As opiniões expressas neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.
  3. As traduções do artigo para outros idiomas são feitas pela equipe Gate Learn. Salvo menção em contrário, copiar, distribuir ou plagiar os artigos traduzidos é proibido.

Compartilhar

Conteúdo

Fundo

Mecanismo de Multisig

Explorando o Mecanismo Multisignature

Explorando o Sistema de Gerenciamento de Permissão da TRON

Métodos de Ataques Maliciosos de Multisignatura

Conclusão

Calendário Cripto

Atualizações de projeto
Etherex lançará o Token REX em 6 de agosto.
REX
22.27%
2025-08-06
Dia Raro de Desenvolvimento e Governança em Las Vegas
A Cardano irá sediar o Rare Dev & Governance Day em Las Vegas, de 6 a 7 de agosto, com workshops, hackatonas e discussões em painel focadas em desenvolvimento técnico e tópicos de governança.
ADA
-3.44%
2025-08-06
Blockchain.Rio no Rio de Janeiro
A Stellar participará da conferência Blockchain.Rio, programada para acontecer no Rio de Janeiro, de 5 a 7 de agosto. O programa incluirá palestras e discussões em painéis com representantes do ecossistema Stellar em colaboração com os parceiros Cheesecake Labs e NearX.
XLM
-3.18%
2025-08-06
Webinar
A Circle anunciou um webinar ao vivo intitulado "A Era do Ato GENIUS Começa", agendado para 7 de agosto de 2025, às 14:00 UTC. A sessão explorará as implicações do recém-aprovado Ato GENIUS—o primeiro marco regulatório federal para moedas estáveis de pagamento nos Estados Unidos. Dante Disparte e Corey Then, da Circle, liderarão a discussão sobre como a legislação impacta a inovação em ativos digitais, a clareza regulatória e a liderança dos EUA na infraestrutura financeira global.
USDC
-0.03%
2025-08-06
AMA no X
Ankr realizará um AMA no X no dia 7 de agosto às 16:00 UTC, focando no trabalho do DogeOS em construir a camada de aplicação para DOGE.
ANKR
-3.23%
2025-08-06

Artigos Relacionados

Como fazer suas próprias pesquisas (DYOR)?
iniciantes

Como fazer suas próprias pesquisas (DYOR)?

"Pesquisa significa que você não sabe, mas está disposto a descobrir." -Charles F. Kettering.
11/21/2022, 8:53:06 AM
O que é análise fundamentalista?
intermediário

O que é análise fundamentalista?

Indicadores e ferramentas adequados combinados com notícias criptográficas compõem a melhor análise fundamental possível para a tomada de decisões
11/21/2022, 8:17:17 AM
O que é Bitcoin?
iniciantes

O que é Bitcoin?

Bitcoin, a primeira criptomoeda usada com sucesso no mundo, é uma rede descentralizada de pagamento digital peer-to-peer inventada por Satoshi Nakamoto. O Bitcoin permite que os usuários negociem diretamente sem uma instituição financeira ou terceiros.
11/21/2022, 10:12:36 AM
O que é o PolygonScan e como você pode usá-lo? (Atualização 2025)
iniciantes

O que é o PolygonScan e como você pode usá-lo? (Atualização 2025)

PolygonScan é um explorador de blockchain que permite aos usuários acessar detalhes de transações publicamente compartilhados na rede Polygon. Na atualização de 2025, agora processa mais de 5 bilhões de transações com confirmações em milissegundos, apresenta ferramentas de desenvolvedor aprimoradas, integração com Layer 2, análises avançadas, recursos de segurança melhorados e uma experiência móvel redesenhada. A plataforma ajuda os usuários a rastrear transações e obter insights mais profundos sobre o fluxo de ativos no crescente ecossistema da Polygon, que agora abriga 3,2 milhões de endereços ativos diários e $8,7 bilhões em valor total bloqueado.
11/11/2023, 6:20:25 PM
O que é Solana?
06:10
iniciantes

O que é Solana?

Como um projeto blockchain, Solana visa otimizar a escalabilidade da rede e aumentar a velocidade, e adota um algoritmo exclusivo de prova de histórico para melhorar significativamente a eficiência das transações e sequenciamento na cadeia.
11/21/2022, 10:09:54 AM
O que é Análise técnica?
iniciantes

O que é Análise técnica?

Aprenda com o passado - Para explorar a lei dos movimentos de preços e o código de riqueza no mercado em constante mudança.
11/21/2022, 9:45:34 AM
Comece agora
Inscreva-se e ganhe um cupom de
$100
!