Двухподписные кошельки: острый нож — ловушки мошенничества и меры безопасности

Мультиподписные кошельки пользуются популярностью благодаря своим выдающимся характеристикам безопасности, но ирония в том, что эти же свойства также используют мошенники. В этой статье подробно раскрывается механизм мошенничества с мультиподписными кошельками и предлагаются практические стратегии защиты, чтобы пользователи могли безопасно использовать мультиподписные кошельки и защищать свои криптоактивы.

Свет и тень мультиподписных кошельков

Технология мультиподписей изначально была разработана для повышения безопасности активов. В традиционных одноподписных кошельках достаточно одного приватного ключа для полного контроля над активами, и при его утечке риск кражи возрастает. В мультиподписных кошельках для авторизации транзакции требуется как минимум два или более приватных ключей, подобно тому, как для открытия сейфа нужны несколько ключей.

Этот дизайн позволил мультиподписным кошелькам широко применяться в корпоративных командах, децентрализованных автономных организациях (DAO) и управлении семейными средствами. Однако из-за своей сложности и многоуровневых прав мошенники нашли лазейки.

Самые распространённые виды мошенничества в сети Tron

В блокчейн-экосистеме мошенничество с мультиподписными кошельками на платформе Tron особенно распространено. Мошенники используют два основных метода:

Первый тип: ловушки с правами доступа

Цель — заставить жертву, не подозревая, добавить мошенника в список соучастников кошелька. Обычно мошенники маскируются под службу поддержки, представителей проекта или доверенных третьих лиц, чтобы убедить пользователя импортировать определённую мнемоническую фразу или приватный ключ. После этого мошенник получает частичный или полный контроль над кошельком и может переводить или блокировать активы. Такие мошенничества часто сопровождаются фишинговыми письмами или подделками.

Второй тип: мошенничество с оплатой комиссий

Этот способ более скрытный и не требует от пользователя делиться чувствительной информацией. Мошенники публикуют в соцсетях (комментарии на YouTube, Twitter, Telegram и др.) адрес кошелька, который кажется богатым, и его мнемоническую фразу, чтобы привлечь жадных пользователей «забрать деньги». После импорта кошелька пользователь видит много USDT и других токенов, но не может провести транзакцию из-за отсутствия TRX на оплату комиссии. В этот момент мошенники начинают действовать, убеждая отправить TRX для оплаты комиссии.

Печально, что отправленные TRX попадают в мультиподписный кошелёк, но у жертвы нет прав подписи, чтобы вывести активы. В итоге TRX оказывается в руках мошенников.

Анализ тщательно спроектированного мошенничества

Чтобы лучше понять, как работают такие схемы, рассмотрим реальный пример.

Мошенник разместил на YouTube мнемоническую фразу для кошелька. Кто-то импортировал её через приложение SafePal и обнаружил, что в кошельке есть 2022 USDT. Казалось бы, активы есть, но при более тщательном осмотре выявилась проблема: на кошельке недостаточно TRX для оплаты транзакционных сборов.

В этот момент у жадности просыпается желание. Пользователь решает вложить немного TRX, чтобы оплатить комиссию и вывести USDT. Но при попытке провести транзакцию система сообщает, что требуется одобрение нескольких подписантов. Тогда пользователь понимает, что это мультиподписной кошелёк.

Даже заплатив комиссию, он не сможет переместить активы из-за отсутствия прав подписи. А заплаченные TRX уже оказались в кошельке и могут быть легко забраны мошенниками.

Документирование мошенничества через блокчейн

Используя такие обозреватели, как TronScan, можно проследить следы мошенничества. Например, найдя адрес мошеннического кошелька (например, с окончанием Kk78Z), можно обнаружить, что он управляется другим адресом, например, с окончанием bHCoc.

В сети Tron настройка прав доступа мультиподписных кошельков очень гибкая. Каждый подписант может иметь разные уровни прав:

• Владелец: полный контроль, возможность добавлять или удалять подписантов, переводить активы
• Активный: большинство операций, но требует одобрения других подписантов
• Ограниченный: выполнение только определённых функций, обычно без возможности переводов крупных сумм

В типичных мошеннических схемах мошенники сохраняют права владельца, а кошельки, используемые для заманивания жертв, получают минимальные права. Таким образом, независимо от того, сколько пользователь платит за комиссии, он не сможет преодолеть ограничения прав.

Семь уровней защиты пользователей мультиподписных кошельков

Поскольку мультиподписные кошельки сочетают безопасность и риски, пользователи должны применять системные меры защиты. Ниже представлены стратегии по приоритету:

Первый уровень: храните ключи как зеницу ока

Никакие легальные поставщики кошельков, биржи или проекты не запросят у вас приватные ключи или мнемонические фразы. Эти данные — как пароли к банковским счетам — должны храниться только там, где вы полностью контролируете.

Практика:

• Запишите мнемоническую фразу или приватный ключ на бумаге и храните в безопасном месте
• Не сохраняйте их на телефоне, компьютере или в облаке
• Никогда не вводите эти данные на сайтах или в приложениях, если не доверяете полностью официальному кошельку
• Будьте бдительны к любым запросам вставить приватный ключ или мнемоническую фразу

Второй уровень: используйте только официальные кошельки

В криптоиндустрии полно поддельных кошельков и платформ. Перед загрузкой любого приложения убедитесь, что:

• Название разработчика в App Store или Google Play соответствует официальному
• Скачиваете только по ссылкам с официальных сайтов
• Читаете отзывы и ищете предупреждения
• Проверяете наличие официальных значков подтверждения (например, голубая галочка)

Известные кошельки, такие как SafePal и Trust Wallet, доступны только через официальные каналы и имеют хорошую репутацию.

Третий уровень: регулярно проверяйте права доступа

Управление правами — важная часть безопасности. Не реже одного раза в месяц проверяйте:

• Кто имеет права подписи
• Все ли права вы предоставили
• Удаляйте подозрительных или ненужных подписантов
• Удаляйте разрешения для неиспользуемых DeFi-приложений

Большинство кошельков позволяют управлять правами через настройки, показывая все подключённые адреса и приложения.

Четвертый уровень: используйте аппаратные кошельки

Аппаратный кошелек — это отдельное устройство, хранящее приватные ключи оффлайн. Даже если злоумышленник взломает мультиподписную настройку, без физического устройства он не сможет вывести активы.

Преимущества:

• Приватные ключи никогда не покидают устройство
• Подпись транзакций происходит внутри устройства
• Даже при взломе компьютера или смартфона активы остаются в безопасности

Для крупных сумм аппаратный кошелек — обязательный инструмент.

Пятый уровень: включите двухфакторную аутентификацию (2FA)

Практически все современные кошельки и платформы поддерживают 2FA. После её активации даже при знании пароля злоумышленник не сможет войти без кода с вашего телефона.

Рекомендуется использовать TOTP-приложения, такие как Google Authenticator или Authy, а не SMS, так как последние легче перехватить.

Шестой уровень: учитесь и будьте бдительны

Безопасность в криптомире постоянно развивается. Новые схемы мошенничества появляются регулярно, и методы защиты тоже совершенствуются. Рекомендуется:

• Следить за официальными объявлениями о безопасности
• Общаться в безопасных сообществах, узнавать о новых случаях мошенничества
• Перед крупными сделками искать актуальную информацию о безопасности
• Относиться с осторожностью к новым инвестиционным предложениям

Седьмой уровень: распознавайте сигналы тревоги

Современные кошельки начинают оснащаться функциями предупреждения о подозрительной активности. Например, SafePal и Trust Wallet добавили оповещения о возможных угрозах.

Обучитесь распознавать такие сигналы:

• Кошелек помечен как «рисковый» или «заблокирован»
• Появляются необычные запросы на транзакции
• В настройках есть предупреждения о неправильных правах доступа

Итог: ключ к безопасному использованию мультиподписных кошельков

Мультиподписные кошельки — это мощный инструмент, предоставляющий уровень безопасности, недоступный одноподписным кошелькам. Однако, как и любой мощный инструмент, они могут причинить вред, если ими управляют неправильно.

Мошенники используют человеческую жадность, любопытство и недоверие, чтобы разрабатывать сложные схемы обмана. Особенно они предпочитают платформы на базе Tron, поскольку мошенничество там обходится дешевле и труднее отслеживается.

Но защититься вполне реально. Надёжное хранение приватных ключей, использование официальных приложений, регулярная проверка прав доступа и многоуровневая безопасность значительно снижают риски. Главное — всегда оставаться бдительным. Помните: если что-то кажется слишком хорошим, чтобы быть правдой, скорее всего, это — обман.

Уверенность в безопасной работе с мультиподписными кошельками достигается через глубокое понимание их особенностей и внимательное отношение к деталям безопасности.