撰文：慢雾安全团队

背景

在上一期 Web3 安全入门避坑指南中，我们主要讲解下载 / 购买钱包时的风险，找到真官网和验证钱包真伪的方法，以及私钥 / 助记词的泄露风险。我们常说「Not your keys, not your coins」，但也存在即使你有私钥 / 助记词，也无法控制自己资产的情况，即钱包被恶意多签了。结合我们收集到的 MistTrack 被盗表单，一些用户的钱包被恶意多签后，不明白为什么自己钱包账户里还有余额，却无法把资金转出。因此，本期我们将以 TRON 钱包为例，讲解多签钓鱼的相关知识，包括多签机制、黑客的常规操作及如何避免钱包被恶意多签等内容。

多签机制

我们先简单解释下什么是多签，多签机制的本意是为了使得钱包更安全，允许多个用户共同管理和控制同一个数字资产钱包的访问和使用权限。尽管部分管理者丢失或泄露了私钥 / 助记词，钱包里的资产也不一定会受损。

TRON 的多重签名权限系统设计了三种不同的权限：Owner、Witness 和 Active，每种权限都有特定的功能和用途。

Owner 权限：

• 拥有执行所有合约和操作的最高权限；

• 只有拥有该权限才能修改其他权限，包括添加或移除其他签名者；

• 创建新账户后，默认为账户本体拥有该权限。