导读: 部分imToken钱包用户反馈,因轻信陌生二维码导致资产被盗,甚至触发“多签”机制,造成无法挽回的损失,所谓“多签”(多重签名),本是一种提升资产安全的设计:需要多个私钥共同授权才能完成交易,常用于协作管理或冷热分离场景,但一些不法分子利用用户对“多签”的认知盲区,通过伪造的扫码页面诱导用户授权,…...
部分imToken钱包用户反馈,因轻信陌生二维码导致资产被盗,甚至触发“多签”机制,造成无法挽回的损失,所谓“多签”(多重签名),本是一种提升资产安全的设计:需要多个私钥共同授权才能完成交易,常用于协作管理或冷热分离场景,但一些不法分子利用用户对“多签”的认知盲区,通过伪造的扫码页面诱导用户授权,变相将攻击者地址加入多签名单,从而绕开用户单个私钥的保护,实现资产转移。
这类攻击的典型流程是:用户收到所谓“空投领奖”“NFT白名单”等链接或二维码,扫码后跳出看似正规的imToken授权页面,页面可能要求输入钱包密码、或点击“连接”“签名”,一旦用户确认,实际是签署了一笔“修改多签规则”的合约交易——攻击者迅速将自己添加为多签共管人,随后发起提币交易,仅需自己的私钥即可完成。
更隐蔽的是,部分仿冒dApp(去中心化应用)会伪装成知名项目,在扫码瞬间借用“窗口切换”技术,将用户本意授权的小额交易替换为多签修改指令,等到用户发现余额异常时,攻击者早已利用多签权限清空了资产。
防范建议:
- 核验来源,拒绝陌生扫码:任何非官方渠道的二维码、链接都不要轻易扫码,imToken官方提示:正规授权弹窗会明确显示即将签署的合约内容和Gas费用,若出现“修改多签”“添加签名者”等字样,立刻拒绝。
- 使用硬件钱包或冷钱包:将大额资产存放于未联网的冷钱包中,日常使用小额热钱包交互,多签功能务必在专业指导下配置。
- 定期检查授权与多签列表:imToken内可查看“授权管理”和“多签地址”,发现异常地址立即撤销授权或转移资产。
- 保持警惕,不贪小利:所有声称“扫码领空投”“免费提现”的信息,大概率是诱导授权的陷阱,没有免费午餐,多重签名是安全工具,不是被利用的漏洞。
数字资产管理需步步谨慎,多签本应是守护者,但不正确的操作可能让它变为漏洞,希望用户提高安全意识,守护好自己的数字资产。
转载请注明出处:imtoken官网,如有疑问,请联系(imtoken官方app)。
本文地址:https://www.tszyjy.cn/xwzx/6260.html