Двосторонній меч мультипідписних гаманців: шахрайські пастки та заходи безпеки

Мультипідписний гаманець популярний завдяки своїм високим рівням безпеки, але іронія полягає в тому, що ці ж характеристики використовують шахраї. У цій статті ми детально розглянемо механізми роботи шахрайств із мультипідписними гаманцями та надамо практичні рекомендації для захисту користувачів, щоб вони могли безпечно користуватися мультипідписними гаманцями і захищати свої криптоактиви.

Плюси та мінуси мультипідписних гаманців

Технологія мультипідпису спочатку створена для підвищення безпеки активів. У традиційному однопідписному гаманці достатньо одного приватного ключа для контролю над активами, але при його компрометації всі активи під загрозою. Мультипідписний гаманець вимагає щонайменше двох або більше приватних ключів для підписання транзакції, подібно до сейфу, який відкривається кількома ключами.

Ця конструкція робить мультипідписні гаманці ідеальними для командних проектів, DAO, сімейних фінансів. Однак, через свою складність і багаторівневі дозволи, шахраї знайшли способи їх використання у злочинних цілях.

Найпоширеніші шахрайські схеми у мережі Tron

У блокчейн-екосистемі шахрайства з мультипідписними гаманцями на платформі Tron особливо поширені. Злочинці застосовують два основні підходи:

Перша: пастка з дозволами

Мета — змусити жертву без їхнього відома додати шахрая до списку співпідписантів гаманця. Зазвичай шахраї видають себе за службу підтримки, представника проекту або довірену третю сторону, і переконують користувача ввести певний мнемонічний фразу або приватний ключ. Після цього шахраї отримують частковий або повний контроль над гаманцем і можуть переводити або блокувати активи. Такі шахрайства супроводжуються фішинговими листами або підробленими сайтами.

Друга: шахрайство з оплатою комісії

Цей тип шахрайства менш очевидний і не вимагає від користувача розкривати конфіденційну інформацію. Злочинці публікують у соцмережах (YouTube, Twitter, Telegram) адресу гаманця та його мнемонічну фразу, щоб заманити користувачів «зняти гроші». Користувачі бачать багато USDT і інших токенів у гаманці, але транзакція не може пройти через відсутність TRX для оплати комісії. Тоді шахраї підказують, що потрібно надіслати TRX для оплати комісії.

На жаль, TRX, які користувачі надсилають, потрапляють у мультипідписний гаманець, але жертва не має прав підпису і не може вивести активи. Вони фактично віддають свої TRX шахраям.

Аналіз реального шахрайського кейсу

Щоб краще зрозуміти, як працюють ці схеми, розглянемо реальний приклад.

Шахраї опублікували у YouTube мнемонічну фразу гаманця. Один користувач імпортував її у SafePal і побачив, що у гаманці є 2022 USDT. Гаманець виглядає «надійним», але при детальному огляді виявляється, що TRX для оплати транзакцій відсутній.

Тут починається азарт. Користувач вирішує внести TRX для оплати комісії і спробувати вивести USDT. Але при спробі транзакції система вимагає підпису кількох учасників. Тоді він усвідомлює, що це мультипідписний гаманець.

Навіть заплативши комісію, він не може рухати активи через відсутність інших підписантів. TRX, які він надіслав, вже у гаманці і доступні шахраям.

Виявлення шахрайства через блокчейн

За допомогою TronScan або інших блокчейн-оглядачів можна простежити такі схеми. Наприклад, пошук за адресою, що закінчується на Kk78Z, показує, що цей гаманець контролюється іншим адресом, що закінчується на bHCoc.

У мережі Tron налаштування мультипідписних гаманців досить гнучкий. Кожен підписант може мати різні рівні дозволів:

• Власник: повний контроль, може додавати/видаляти підписантів, переказувати активи
• Активний: може виконувати більшість транзакцій, але потребує схвалення інших
• Обмежений: має доступ лише до певних функцій, зазвичай не може переказувати великі суми

У шахрайських схемах шахраї зберігають права власника, а жертви отримують мінімальні дозволи. Тому, навіть сплативши комісію, вони не зможуть вивести активи.

Семирівнева система захисту для користувачів мультипідписних гаманців

Оскільки мультипідписні гаманці поєднують безпеку і ризики, користувачам потрібно застосовувати системний захист. Нижче наведено пріоритетні заходи:

Перша: зберігайте ключі як життя

Жоден легальний провайдер, біржа або проект не запитуватиме у вас приватний ключ або мнемонічну фразу. Це — як пароль до банківського рахунку, і його потрібно зберігати у безпечному місці.

Рекомендації:

• Записуйте мнемонічну фразу або приватний ключ на папір і зберігайте у фізично безпечному місці
• Не зберігайте їх у телефоні, на комп’ютері або у хмарі
• Не вводьте ці дані на жодних сайтах або в додатках, окрім офіційних і довірених
• Уважно ставтеся до будь-яких запитів вставити приватний ключ або мнемоніку

Друга: користуйтеся лише офіційними додатками

У криптосвіті багато підробок гаманців і платформ. Перед завантаженням переконайтеся, що:

• Назва розробника у App Store або Google Play відповідає офіційному
• Посилання для завантаження взято з офіційного сайту
• Перевірте відгуки та наявність попереджень
• Гаманець має офіційний значок підтвердження (синя галочка)

SafePal, Trust Wallet та інші відомі додатки доступні лише через офіційні канали і мають хорошу репутацію.

Третя: періодично перевіряйте дозволи гаманця

Керування мультипідписним гаманцем вимагає відповідальності. Мінімум раз на місяць перевіряйте:

• Хто має права підпису
• Чи всі дозволи — ваші
• Відразу видаляйте підозрілі або непотрібні підписанти
• Оновлюйте дозволи для неактивних додатків

Більшість гаманців мають відповідний розділ для управління дозволами.

Четверта: використовуйте апаратний гаманець

Апаратний гаманець — це фізичний пристрій, що зберігає приватний ключ у ізольованому режимі. Навіть якщо хакери зможуть зламати вашу мультипідписну систему, без фізичного пристрою вони не зможуть переказати активи.

Переваги:

• Приватний ключ ніколи не виходить у мережу
• Підписання транзакцій відбувається на пристрої
• Навіть за злом комп’ютера або смартфона активи залишаються захищеними

Для великих сум обов’язково використовуйте апаратний гаманець.

П’ята: увімкніть двофакторну автентифікацію (2FA)

Практично всі сучасні додатки і платформи підтримують 2FA. Вмикаючи її, навіть якщо зломають ваш пароль, потрібен код з мобільного для входу.

Рекомендується використовувати TOTP-додатки (Google Authenticator, Authy), а не SMS-коди, оскільки їх легше перехопити.

Шоста: постійно вчіться і будьте обережні

Безпека у криптосвіті швидко змінюється. Нові схеми шахрайства з’являються регулярно. Рекомендується:

• стежити за офіційними повідомленнями про безпеку
• долучатися до спільнот безпеки
• перед великими операціями перевіряти актуальні рекомендації
• ставитися з обережністю до нових інвестиційних пропозицій

Сьома: розпізнавайте ознаки підозри

Сучасні додатки починають додавати функції попередження. Навчіться розпізнавати сигнали:

• гаманець позначено як «ризик» або «заблокований»
• з’являються підозрілі запити на транзакції
• системні повідомлення про неправильні дозволи

Висновок: ключі до безпечного використання мультипідписних гаманців

Мультипідписний гаманець — це потужний інструмент, що забезпечує рівень безпеки, недоступний однопідписним. Однак, як і будь-який інструмент, він може бути використаний у злочинних цілях, якщо його в руках недобросовісних.

Злочинці використовують людські слабкості — жадібність, цікавість, довіру — і створюють складні схеми. Вони особливо полюбляють Tron і подібні платформи через низьку вартість і труднощі слідкування.

Але захист цілком можливий. Зберігаючи приватні ключі у безпеці, користуючись офіційними додатками, регулярно перевіряючи дозволи і активуючи багаторівневий захист, користувачі можуть значно знизити ризики. Головне — бути пильним і пам’ятати: якщо щось здається занадто хорошим, щоб бути правдою, швидше за все, це шахрайство.

Щоб безпечно користуватися мультипідписним гаманцем, потрібно глибоко розуміти його особливості і дотримуватися правил безпеки до дрібниць.