揭露多重签名诈骗：加密货币安全入门指南

介绍

加密货币提供了令人难以置信的机会，但它也是诈骗者的乐园。多重签名 (multisig) 钱包旨在为你的数字资产增加额外的安全层，但已经成为一把双刃剑。虽然它们可以防止盗窃和单一故障点，但诈骗者已经找到了利用它们的聪明方法，给毫无戒心的用户造成毁灭性的损失。在本篇对新手友好的指南中，我们将深入探讨什么是 multisig 钱包，诈骗者如何操纵它们，以及保护你的加密货币安全的实际步骤。无论你是加密货币新手还是经验丰富的用户，了解 multisig 诈骗对于安全地浏览区块链至关重要。

什么是 Multisig 钱包？

想象一下，一个银行金库需要多把钥匙才能打开，每把钥匙都由一个不同的受信任人持有。Multisig 钱包在加密世界中的工作方式类似。与依赖单个私钥来签署交易的标准钱包不同，multisig 钱包需要多个私钥来批准和执行交易。这种设置通常被描述为 M-of-N 配置：

• M：所需的最小签名（批准）数量。
• N：可能的签名者或密钥的总数。

例如：

• 一个 2-of-3 multisig 钱包需要三个私钥中的两个来授权交易。
• 一个 3-of-5 multisig 钱包需要五个密钥中的三个。

这种结构使 multisig 钱包非常通用和安全，可用于：

• 团队协作：企业或 DAO（去中心化自治组织）管理共享资金。
• 个人安全：个人将大量加密货币持有量存储在多个设备或位置。
• 托管服务：中立的第三方持有密钥的无需信任的交易。
• 家庭资金：用于共同财务目标的联合账户。

为什么要使用 Multisig 钱包？

Multisig 钱包通过以下方式降低风险：

• 防止单个被盗密钥耗尽你的资金。
• 在受信任的各方或设备之间分配控制权。
• 在去中心化项目中实现安全治理。

然而，它们的复杂性和对多方的依赖使它们成为诈骗者的主要目标。让我们探讨一下这些诈骗是如何运作的。

什么是 Multisig 诈骗？

Multisig 诈骗是一种欺诈计划，诈骗者利用 multisig 钱包的机制来窃取加密货币。其核心技巧是说服受害者，他们可以完全访问钱包的资金，而实际上，缰绳掌握在诈骗者手中。这些诈骗活动依靠社会工程、技术欺骗以及受害者的贪婪或缺乏知识而蓬勃发展。

Multisig 诈骗在 Tron 网络上尤其常见，因为它具有灵活的权限系统，但它们可能发生在任何支持 multisig 钱包的区块链上，例如以太坊、比特币或币安智能链。诈骗者经常通过 YouTube、Twitter、Telegram 或 Discord 等社交媒体平台宣传他们的计划，使用虚假的助记词或承诺轻松获利等诱饵。

Multisig 诈骗的类型

以下是最常见的 multisig 诈骗策略：

1. 交易费陷阱：

• 诈骗者共享一个助记词或私钥，声称它可以解锁一个拥有大量资金的钱包。受害者导入密钥，看到余额，但由于 gas 费不足而无法转移资金。他们发送加密货币以支付费用，结果发现该钱包是 multisig 钱包，需要诈骗者控制的其他密钥。

2. 网络钓鱼和身份假冒：

• 诈骗者冒充钱包提供商、交易所或受信任的联系人，诱骗用户共享密钥或添加诈骗者作为联署人。例如，一个假的“支持代理”可能会声称你的钱包需要安全更新，从而导致一个窃取你凭据的网络钓鱼网站。

3. 虚假的 Multisig 服务：

• 欺诈性平台或个人提供付费设置 multisig 钱包，但保留对关键密钥的控制权，从而使他们以后可以窃取资金。

4. 受损的联署人：

• 在合法的 multisig 设置中，诈骗者会黑掉或冒充联署人以批准欺诈性交易。例如，他们可能会入侵商业伙伴的电子邮件以操纵批准。

5. 恶意软件和键盘记录器：

• 恶意软件会捕获私钥或交易批准，从而使诈骗者可以访问 multisig 钱包。虚假的钱包应用程序是一种常见的传播方法。

6. 虚假的投资计划：

• 诈骗者诱使用户将资金存入 multisig 钱包，以用于不存在的 DeFi 项目或投资机会。诈骗者控制着大多数密钥并带着资金潜逃。

Multisig 诈骗如何运作：一个逐步示例

让我们通过一个常见的 multisig 诈骗 - 交易费陷阱 - 来了解，使用一个受真实世界启发的 Tron 网络上的 SafePal 钱包的场景。

场景：YouTube 诱饵

1. 诱惑：

• 你偶然发现一条 YouTube 评论：
• “我找到了一个有 5,000 USDT 的钱包，但我无法访问它！这是助记词：[虚假的助记词]。有人可以帮我转移资金吗？”
• 这条评论似乎无辜，并且免费加密货币的承诺激起了你的好奇心。

2. 导入钱包：

• 你安装 SafePal 钱包扩展程序（一个合法的钱包）并导入提供的助记词。
• 钱包打开，显示 5,000 USDT 的余额（Tron 上的 TRC-20 代币）。你很兴奋，尝试将资金转移到你的个人钱包。

3. 费用陷阱：

• 交易失败，因为钱包缺少 TRX，Tron 的原生代币，需要支付网络费用。
• 认为这只是一个小障碍，你向钱包发送 20 TRX（约 3 美元）以支付费用。

4. 陷阱：

• 发送 TRX 后，你再次尝试转移，但钱包提示需要其他签名。这是一个 2-of-3 multisig 钱包，你只有一个密钥。诈骗者控制着另外两个密钥，使 USDT 无法访问。
• 你发送的 20 TRX 现在在诈骗者的钱包中，而你一无所获。

5. 确认：

• 出于好奇，你在 TronScan（Tron 的区块链浏览器）上检查钱包地址。该钱包由一个具有“所有者权限”的主帐户（例如，以 XYZ123 结尾的地址）控制，而你导入的帐户的权限受到限制。诈骗很明显：你被诱骗为诈骗者的钱包提供资金。

为什么选择 Tron？

Tron 的 multisig 钱包允许自定义权限，其中帐户可以具有不同的控制级别（例如，完全访问权限或仅查看权限）。诈骗者会通过创建看起来有价值但被主帐户锁定的诱饵钱包来利用这一点。例如：

• 诱饵钱包：以 ABC456 结尾的地址，显示 5,000 USDT 但权限有限。
• 主钱包：以 XYZ123 结尾的地址，对 multisig 设置具有完全控制权。

这种结构在 TronScan 上可见，但许多受害者在为时已晚之前不会检查。

在 Tron 上检查 Multisig 权限

如果你有技术倾向，可以使用 JavaScript 中的 TronWeb 库来验证 Tron 钱包的 multisig 状态。以下是查询钱包权限的简化示例：

const TronWeb = require('tronweb');

const tronWeb = new TronWeb({
  fullHost: 'https://api.trongrid.io',
  privateKey: 'YOUR_PRIVATE_KEY' // 可选，用于只读查询
});
async function checkMultisigPermissions(address) {
  try {
    const account = await tronWeb.trx.getAccount(address);
    console.log('帐户权限:', account.permissions);
    if (account.permissions && account.permissions.length > 1) {
      console.log('这是一个具有多个权限级别的 multisig 钱包。');
    } else {
      console.log('这不是一个 multisig 钱包。');
    }
  } catch (error) {
    console.error('检查权限时出错:', error);
  }
}
// 示例钱包地址
const walletAddress = 'TRON_WALLET_ADDRESS_HERE';
checkMultisigPermissions(walletAddress);

说明：

• 此脚本使用 TronWeb 查询钱包的权限。
• 如果钱包具有多个权限级别（例如，所有者、活动），则很可能是 multisig 钱包。
• 在安装 tronweb 后（npm install tronweb），在 Node.js 环境中运行此脚本。
• 将 TRON_WALLET_ADDRESS_HERE 替换为可疑钱包的地址。

此代码可帮助你验证钱包的状态，然后再与其交互，但始终使用受信任的工具，并避免运行未经验证的脚本。

高级 Multisig 诈骗

除了费用陷阱之外，诈骗者还采用复杂的策略：

1. 网络钓鱼攻击：

• 你收到一封电子邮件，声称你的钱包提供商（例如 SafePal）需要安全更新。该电子邮件链接到一个窃取你的助记词或添加诈骗者作为联署人的虚假网站。

2. 受损的联署人：

• 在业务 multisig 设置中，诈骗者会攻击联署人的电子邮件并发送紧急请求以批准交易，从而耗尽钱包。

3. 虚假的 DeFi 项目：

• 一个欺诈性的 DeFi 平台说服你将资金锁定在 multisig 钱包中以进行“yield farming（收益耕作）”。该平台的团队控制着密钥并窃取你的存款。

这些诈骗通常将社会工程与技术漏洞相结合，使其更难被发现。

真实世界的影响

Multisig 诈骗造成了重大损失：

• 案例研究 1：托管欺诈：
• 一位交易员使用 multisig 钱包进行高价值加密货币交易，第三方托管服务持有其中一把密钥。该托管人是一个控制着两个密钥的诈骗者，在交易员存入资金后，批准了将其转移到他们自己地址的交易。
• 案例研究 2：YouTube 陷阱：
• 一个用户在从 YouTube 评论中导入助记词后，向 multisig 钱包发送了 50 TRX。这次小小的损失是一个教训，但在成千上万的受害者中扩大这种诈骗规模，诈骗者可以获得数百万美元。

虽然基于费用的诈骗造成的损失较小，但高级诈骗可能会抹去整个钱包，尤其是在 DeFi 或商业环境中。

如何保护自己免受 Multisig 诈骗

保持安全需要谨慎、技术知识和良好的习惯。以下是 10 个详细步骤来保护你的加密货币：

1. 保护你的私钥

• 将私钥和助记词离线存储，最好是在硬件钱包（例如 Ledger Nano X）或金属种子板等物理备份上。
• 永远不要共享它们，即使是与受信任的联系人或“支持”团队。
• 示例：使用 Ledger Nano X 存储一个密钥，使用 Trezor Model T 存储另一个密钥，并将第三个密钥放在保险箱中。

2. 使用受信任的钱包软件

• 仅从官方来源（例如 safepal.com、trustwallet.com）下载钱包。
• 验证应用商店上应用程序的真实性，并检查网络钓鱼尝试的 URL（例如，“safepal.io”与“safepal-fake.io”）。
• 推荐的 multisig 钱包：Gnosis Safe，Casa，Electrum（用于比特币）。

3. 定期审计钱包权限

• 检查你的钱包设置，以查看谁具有签名权。
• 在 Tron 上，使用 TronScan 检查权限层次结构。
• 立即删除未使用的 DeFi 应用程序或未经授权的签名者。
• 示例：在 SafePal 中，转到“设置 > 权限”以查看联署人。

4. 利用硬件钱包

• 硬件钱包离线存储密钥，需要物理确认才能进行交易。
• 即使诈骗者获得了部分控制权，他们也无法在没有你的设备的情况下转移资金。
• 示例：Ledger Nano S Plus 可以安全地签署 multisig 交易。

5. 启用双重身份验证 (2FA)

• 使用 Google Authenticator 或 Authy 等应用程序在所有相关帐户（电子邮件、交易所、钱包应用程序）上激活 2FA。
• 避免使用基于 SMS 的 2FA，因为它容易受到 SIM 卡交换攻击。

6. 彻底验证交易

• 在签名之前，仔细检查收件人地址、金额和交易详细信息。
• 使用测试交易（例如，发送 0.01 TRX）来确认大额转账的地址。
• 警惕紧急批准请求，这是一种常见的社会工程策略。

7. 保持学习

• 关注加密货币安全博客（例如，Binance Academy、CoinDesk）和社区（例如，Reddit 上的 r/cryptocurrency）。
• 了解新的诈骗策略，以领先于威胁。

8. 注意钱包警告

• 现代钱包（如 SafePal 和 Trust Wallet）会显示 multisig 钱包或可疑地址的警告（例如，“资金被阻止”或“检测到 Multisig”）。
• 如果你看到此类警告，请避免与钱包交互。
• 示例：SafePal 的警告：“此钱包需要多个签名。请谨慎操作。”

9. 避免未经请求的助记词

• 永远不要导入在社交媒体、论坛或电子邮件上共享的助记词或密钥。
• 这些几乎总是诈骗诱饵，旨在诱骗你发送加密货币或损害你的钱包。

10. 研究投资机会

• 对需要 multisig 存款的 DeFi 项目或投资持怀疑态度。
• 在 CoinGecko 或 Twitter 等平台上验证团队、白皮书和社区反馈。
• 示例：检查项目的 GitHub 以了解活跃的开发和审计报告。

在以太坊上创建一个简单的 Multisig 钱包

为了让你对它有实践性的理解，这里有一个使用以太坊上的 Gnosis Safe 的 JavaScript SDK 设置 multisig 钱包的基本示例。这仅用于教育目的，并且需要开发环境。

const { SafeFactory, SafeAccountConfig } = require('@gnosis.pm/safe-core-sdk');
const EthAdapter = require('@gnosis.pm/safe-eth-adapter');
const { ethers } = require('ethers');

// 初始化以太坊提供商（例如，Infura）
const provider = new ethers.providers.JsonRpcProvider('YOUR_INFURA_URL');
const ethAdapter = new EthAdapter({ ethers, provider });
// 钱包所有者地址（替换为真实地址）
const owners = [\
  '0xYOUR_ADDRESS_1',\
  '0xYOUR_ADDRESS_2',\
  '0xYOUR_ADDRESS_3'\
];
const threshold = 2; // 需要 3 个签名中的 2 个
async function createMultisigWallet() {
  try {
    // 初始化 Safe Factory
    const safeFactory = await SafeFactory.create({ ethAdapter });

    // 配置 Safe
    const safeAccountConfig: SafeAccountConfig = {
      owners,
      threshold,
      // 可选：为确定性部署添加 saltNonce
    };

    // 部署 Safe
    const safe = await safeFactory.deploySafe({ safeAccountConfig });
    console.log('Multisig 钱包已部署在:', await safe.getAddress());
  } catch (error) {
    console.error('创建 multisig 钱包时出错:', error);
  }
}
createMultisigWallet();

说明：

• 此脚本使用 Gnosis Safe SDK 在以太坊上部署 2-of-3 multisig 钱包。
• 将 YOUR_INFURA_URL 替换为 Infura 或 Alchemy RPC URL，并将 YOUR_ADDRESS_X 替换为真实的以太坊地址。
• 安装依赖项：npm install @gnosis.pm/safe-core-sdk @gnosis.pm/safe-eth-adapter ethers。
• threshold 确保交易需要两个签名。
• 在 Node.js 环境中运行以进行测试，但对于实际部署，请使用受信任的 UI（例如，Gnosis Safe 的 Web 应用程序）。

此示例展示了如何创建 multisig 钱包，帮助你了解它们的结构以及为什么诈骗者会利用它们的复杂性。

如果你被诈骗该怎么办

如果你成为 multisig 诈骗的受害者，请迅速采取行动：

1. 保护剩余资产：

• 将未受影响的资金转移到具有新密钥的新钱包。
• 使用硬件钱包以获得最大的安全性。

2. 撤销权限：

• 通过其设置从你的 multisig 钱包中删除受损的联署人或应用程序。
• 在 Tron 上，使用受信任的钱包界面更新权限。

3. 举报事件：

• 联系你的钱包提供商并向网络犯罪机构（例如，美国的 FBI 的 IC3）提交报告。
• 通知区块链浏览器，例如 TronScan 或 Etherscan，以标记诈骗者的地址。

4. 提醒联署人：

• 通知你的 multisig 设置中的其他签名者，以防止进一步的未经授权的操作。

5. 寻求专家帮助：

• 聘请区块链取证服务来追踪资金，尽管恢复具有挑战性。
• 示例公司：Chainalysis，CipherTrace。

6. 学习和适应：

• 查看诈骗以识别错误并加强你的安全措施。

结束语

Multisig 钱包是加密货币安全的基础，但它们并非万无一失。诈骗者通过聪明的陷阱（如交易费诈骗、网络钓鱼和虚假的投资计划）来利用它们的复杂性。通过了解这些诈骗的运作方式（尤其是在 Tron 等网络上），你可以保持领先一步。保护你的密钥，使用受信任的软件，审核权限，并以怀疑的态度对待未经请求的报价。在加密货币中，知识和谨慎是你最大的资产。

保持警惕，不断学习，并保护你的数字财富。

• 原文链接： medium.com/@ankitacode11...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～