Conseils de sécurité ViaWallet | Celui qui contrôle la clé privée possède les actifs ? Méfiez-vous des escroqueries avec des adresses TRON à plusieurs signatures (multi-sig)

Lorsque vous utilisez des produits crypto tels que des portefeuilles et des échanges, la protection de la sécurité de vos actifs est la priorité n° 1. Dans les “Conseils de sécurité ViaWallet”, nous partagerons quelques connaissances de base sur les crypto-monnaies, telles que les escroqueries courantes, la manière d’utiliser les produits crypto en toute sécurité et les mécanismes de sécurité des chaînes de blocs sous de multiples angles, afin de vous aider à bien comprendre la sécurité des actifs et à adopter des mesures de protection renforcées.

L’arnaque crypto du jour

Sur le marché des cryptomonnaies, on dit souvent que celui qui contrôle votre clé privée possède vos actifs. À ce titre, nous devons prendre soin de nos clés privées. Cependant, récemment, de nombreux utilisateurs ont vu le message suivant dans des groupes de médias sociaux.

Voici l’adresse TRON qui correspond aux phrases mnémotechniques ci-dessus : TNCCpquVqxhLYsDPAckj7mTXFhQEHHwTvo. En vérifiant l’adresse par le biais de l’explorateur de blocs de TRON, nous pouvons dire que l’adresse contient une grande quantité d’USDT :

C’est la réaction de nombreux utilisateurs : Wow, c’est incroyable qu’un si gros détenteur offre volontairement sa clé privée. Je dois sortir les USDT le plus vite possible avant que quelqu’un d’autre ne s’en empare.

Après avoir importé les phrases mnémoniques dans Tronlink ou ViaWallet, les utilisateurs commencent à effectuer le transfert (toutes les images ci-dessous sont à des fins de test). À ce stade, le portefeuille les avertit : Bande passante insuffisante. Le montant de TRX nécessaire à l’exécution de la transaction sera automatiquement déduit. Ayant constaté que le solde de TRX dans leur portefeuille est insuffisant, ils transfèrent 20 TRX depuis un compte d’échange ou un autre portefeuille. Après tout, comparé à l’avantage USDT, les frais de TRX semblent minimes.

Après avoir payé les TRX requis, l’utilisateur procède rapidement au transfert des USDT contenus dans l’adresse :

Ils passent ensuite par l’excitante période de diffusion et de confirmation. Alors que la transaction est emballée, les utilisateurs s’extasient : cet avantage qui vaut des centaines de USDT est presque trop beau pour être vrai. Tout en se demandant comment ils vont dépenser l’argent, ils vérifient leur portefeuille et remarquent que la transaction est toujours en cours de confirmation. Comment cela se fait-il ?

Ok, rafraîchissons la page. Attendez, pourquoi la transaction a disparu ?

Lorsque les utilisateurs vérifient la transaction via l’explorateur de chaînes de blocs pour la deuxième fois, ils remarquent que la transaction n’existe jamais, et que le solde de l’adresse reste le même, à l’exception des 20 TRX qu’ils ont payés.

Alors, que s’est-il passé ? Pourquoi les USDT ne peuvent-ils pas être transférés alors que les utilisateurs ont la clé privée ? A ce stade, les utilisateurs sentent que quelque chose ne va pas avec le “perk” et essaient de récupérer leurs 20 TRX mais échouent, ce qui les fait penser : est-ce une arnaque ?

Examen : le porte-monnaie TRX multi-sig

Pourquoi ne pouvons-nous rien faire au sujet des jetons contenus dans l’adresse alors que nous possédons la clé privée ? N’est-il pas vrai que celui qui contrôle une clé privée possède les actifs correspondants ?

Ici, nous devons nous pencher sur le protocole tip6 de TRON. Un compte TRON implique trois types de permission, à savoir la permission de propriétaire, la permission de témoin et la permission active. En outre, l’autorisation du propriétaire et l’autorisation active d’une adresse normale sont toutes deux liées à l’adresse elle-même.

Vérifions l’autorisation de TNVQkFEsD9wCDcj3krvfT6rgZbBRyRDVWB, une adresse TRON typique, via l’explorateur de blocs. Bien sûr, vous pouvez également vérifier l’autorisation via l’interface “wallet/getaccount” si vous avez des connaissances techniques. Comme le montre l’image ci-dessous, l’autorisation du propriétaire et l’autorisation active correspondent toutes deux à l’adresse elle-même.

Regardons maintenant l’autorisation de l’adresse que nous avons mentionnée au début : TNCCpquVqxhLYsDPAckj7mTXFhQEHHwTvo.

Comme on peut le voir ci-dessus, cette adresse est essentiellement une adresse multi-sig, et son propriétaire-permission n’est pas l’adresse elle-même, mais une autre adresse. En tant que telle, l’adresse est contrôlée par un autre compte, plutôt que par sa clé privée, ce qui explique pourquoi les utilisateurs ne peuvent pas prendre des USDT/TRX sur le compte et s’engager dans des opérations liées au contrat en utilisant la clé privée.

Nous savons maintenant comment l’arnaque fonctionne : l’escroc a utilisé l’USDT comme appât pour inciter les utilisateurs à payer les frais de transaction (TRX).

Rappelez-vous : il n’y a pas de repas gratuit. Il faut donc éviter d’être trop gourmand et rester toujours sur ses gardes. Sinon, vous risquez d’être victime de la stupidité apparente de quelqu’un d’autre. Prenez bien soin de vos portefeuilles et de vos cryptos et évitez de transférer des cryptos à un inconnu.