近日,有多名受害者通过币追援助联系到我们,反映其无法正常使用自己的加密货币钱包APP,具体表现为转账报错,也无法调用其他链上合约,但转入正常,最后账户内的资产被一次性转走。经查,受害人系下载假钱包APP导致私钥泄露,进而被盗币者非法更改账户权限。币追Bitrace团队长期关注盗币犯罪态势,不难看出相较于早前单纯的病毒式安装包投放,这类多签骗局在受害者「养鱼」环节中做了更进一步的优化。本文将对这一手法,作出相关介绍。
多签,即多重签名,是一种在区块链技术中使用广泛的安全机制。只有当一定数量具有私钥权限的用户同意签署交易时,交易才能完成。多签有助于防止恶意攻击和欺诈行为,提高了加密资产的安全性、可用性,合理解决了合作多方就资管方面存在的潜在信任问题,因此得到了广泛的应用。
使用多签也意味着,当某一用户的私钥被黑客入侵或盗窃,黑客无法成功转移资产,因为他没有取得其他拥有多重签名的用户私钥。然而,一旦多签的最高权限被窃取,多签成了一言堂,黑客伪装成同伴潜伏暗处,等待资金愈发累积后一网打尽。
在传统的假钱包骗局中,黑客通过假钱包后台获取地址私钥,与用户共享地址操作权限,双方都可以将地址内资金全数转出。在此类骗局中,黑客有两类选择,一是当下实施盗窃,清空地址资产,用户发现地址余额归零后便不再使用该钱包;二是冒着用户可能会转出资金的风险,不立即转出,而是等待用户囤积,这种操作被不法分子称为「养鱼」。
而在多签骗局中,由于用户失去了自己的账户权限,在这段时间里地址会一直处于「只进不出」的状态,理论上只要用户不操作转出,他将永远不会发现自己已经处在被盗的边缘。对黑客而言,不必担心嘴边的鸭子何时飞走,自然也不会打草惊蛇,只需要等待用户继续往口袋装钱。显然,多签骗局实质上是假钱包骗局的升级迭代,而且手法更加隐蔽,成功非法获取的比例更高。
基于一位受害者提供的相关信息,币追Bitrace团队统计发现,截至撰写本文时,该诈骗团伙已通过此手法累计窃取29人的资产,合计约21.56万USDT。
无独有偶,币追情报小组在各个社媒平台发现多名加密货币用户已遭遇此类多签骗局,可见该黑产已经逐渐产业化,这对广大加密货币用户而言并不是一个好消息。
- 拒绝安装或使用除官网提供以外的虚拟币钱包,包括自己在应用商店下载,搜索引擎搜索下载,朋友发送的安装文件等;
通过多方交叉对比,确认官网的准确性,不要盲目相信搜索引擎的官网认证;
拒绝使用钱包向来源不明的网站服务进行虚拟币支付,包括博彩,色情以及其他网络服务等;
做好钱包分离工作,大资金使用单独钱包保存,仅使用日常钱包与其他合约进行交互;
不要相信网络上主动教授虚拟币投资的网友。
币追Bitrace建议各大钱包厂商开启客户端检测多签权限变更的功能,第一时间显示“您的钱包操作权限已更改”字样。如果能及时识别并告知用户,将能够有效防止更大额的损失发生。例如波场官方浏览器的提示,当用户地址权限发生变化,将能够看到明显的提醒:
链上欺诈活动的迭代演化正在加速,即使是同一类骗局,最新的实现路径和潜伏方式都要比以往隐秘。随着加密货币采用者的增长,更为广泛的损失已经不可避免,如果您不幸遭受损失,可以随时联系我们获取帮助。