# 警惕波场恶意更改账户权限骗局 By [TokenPocket中文科普](https://paragraph.com/@tokenpocket) · 2023-02-27 --- 近期有部分社区用户反馈波场钱包被莫名的执行了多签,导致Token无法操作。针对这类问题我们整理了本次的波场多签的相关科普,希望可以帮助用户了解波场多签的原理,认识到恶意更改账户权限的危害,保护好资产安全。 波场多签场景 ------ 波场多签一般分为主动多签和被动多签,主动多签就是自己设置多签,加强资产安全的措施;被动多签是以用户非主观意愿下进行的多签操作,针对这两类问题整理了以下几种可能会导致多签的场景。 第一种,自己设置了多签,需要自己管理地址执行签名; 第二种,使用假钱包导致私钥助记词泄露,被对方获取后设置多签; 第三种,网络上获取的私钥助记词导入钱包,该地址已经被多签; 第四种,执行了第三方恶意的链接,并且签名完成了权限提升。 `波场钱包地址创建后是默认的单权重设置,可以执行任何的链上操作,如果地址被被多签,一定是因为私钥或助记词的泄露或执行恶意链接导致的权限更改。` 波场多签简介 ------ 波场(TRON)的多重签名机制是一种安全措施,通过设置阈值和权重来限制特定的操作只能在多个签名方的共同确认下才能执行。 在波场多签机制中,阈值是指多少个签名方需要确认才能执行特定的操作。例如阈值为 2,那么在执行特定操作时至少需要两个签名方进行确认。阈值可以在多签合约中进行设置,根据具体需求进行调整。 而权重是指每个签名方的权重大小,它可以决定每个签名方在多签操作中所占的比例。例如,如果设置了阈值为2,两个签名方权重为 1,那么在执行特定操作时,需要两个拥有权重为 1 的签名方的确认才可以生效。权重的设置需要在合约中进行设置,并且必须满足所有签名方权重之和等于总权重的要求。 `通过设置阈值和权重,波场多签机制可以提高合约的安全性,防止合约被未经授权的操作所篡改或者被攻击者利用进行恶意操作。` 波场多签骗局 ------ 波场的权限提升和Approve(授权)是有着区别,授权后影响的只有授权过的这个Token;而权限提升则会导致波场地址权限的变更,从而失去了对地址的管理权限。 波场恶意的权限提升,多发生于一些使用TRC20充值的过程中,例如以优化的价格购买加油卡、礼品卡、使用一些验证码平台充值等途径,利用了人们贪图便宜的心态进行布局。当用户使用他们提供的链接进行充值的时,就会调用恶意权限提升的代码,当用户直接确认并输入密码签名后地址的权限便发生了变更,不受管理。下面的是一个典型的恶意更改账户权限案例。 通过恶意网站的充值入口跳转到钱包中打开,收款地址填写的是USDT的合约地址,如果细心的人会发现异常。点击立即支付,提示不要复制地址进行转账,这个是为了防止用户绕过恶意代码执行转账。 ![](https://storage.googleapis.com/papyrus_images/66ffdc61f704a779e9de6f59fda4d5b4728301572a1d61d161b44ecdd67e8e14.png) 点击确认后弹出详情界面,在界面中通过三个箭头所示的位置提示正在进行的操作以及操作后可能带来的风险。点击第二个箭头位置,可以查看权限提升的的作用和风险,如果无视风险提示并执行了确认操作,就会导致权限提升,钱包地址被恶意多签,这时再进行转账就会看到错误的提示信息。 ![](https://storage.googleapis.com/papyrus_images/f7c05ebe93ea18a48948947d4f95cec4444710779a90c76cfebda0653705e0a7.png) `多签设置的初衷是为了更好的保护用户资产,但是被骗子精心利用后会成为其盗取资产的工具,所以请一定要认真查看钱包中出现的每一个提示,这些内容都是经过大量考证后才会添加的信息,适用于绝大多数用户。` 多签骗局防范 ------ TokenPocket很早就支持了波场权限提升操作的预警提示,只需要认真的查看钱包中出现的提示信息就可以绕过大多数的骗局。同时请不要相信网络上虚假宣传的各类礼品卡、加油卡、验证码等网站,更不要参与他们的充值,尤其是提供充值跳转服务的链接,正常的充值类服务,只需要使用对方的收款地址转账就可以完成操作。 **如果遇到类似的诈骗链接,请发送到官方邮箱:**[**service@tokenpocket.pro**](mailto:service@tokenpocket.pro) **进行举报,官方验证后会对链接进行本地化处理,防止更多TokenPocket用户上当受骗。** --- *Originally published on [TokenPocket中文科普](https://paragraph.com/@tokenpocket/2oiZe4fiMUUGKEUEk0Li)*