Trust钱包多签真的安全吗？这些隐患你必须知道

Trust钱包多签真的安全吗？这些隐患你必须知道

不少人认为采用了多签钱包便似有了双保险, 然而于Trust钱包里, 多签功能绝非毫无破绽。它仰仗智能合约, 一旦合约代码存有漏洞, 黑客便可绕开所有签名径直转移资产。我于实际审计期间就目睹过因合约权限分配不妥, 致使多签沦为“无签”的实例。

又有一个特别容易被众人当作不值一提从而给忽略掉的问题, 那就是私钥的分开存放。处于多签机制的情形下, 所需的是多个密钥持有人员各自都要仔仔细细地保管好私钥, 可是有不少人却把私钥随随便便地放置在了手机相册里、云盘当中甚至是微信收藏之内。一旦有某个设备很倒霉地被植入了木马程序, 那么所有的签名权限极有可能性在一个晚上就轻轻松松地落到其他人的手里边。我曾经亲眼看到过这样的一个团队, 因为手机同步了iCloud, 致使五个签名人员当中有四个的私钥被偷取了。

这一事件, 极为充分地凸显出了私钥分散存储所带来的, 那种巨大的风险。私钥用如此不安全的方式存放时, 就仿佛是把重要之宝, 随意放置于无人看守之处, 随时都存有, 被掠夺的危险呢。我们务必要深切认识到, 这种风险的严重性, 要采取更为安全可靠的方式, 去存储私钥, 以此保障自身权益, 以及信息安全。

多签的治理逻辑当中也潜藏着隐患, 假如参与其签名的地址从本质上而言是热钱包, 或者这些地址的创建时间彼此相近、交互极为频繁, 那么黑客便能够借助链上数据分析得出谁是签名者, 进而实施定点攻击, 更为极端的状况是, 存在一些项目方为了图省事, 将多个签名地址的控制权集中于一个人手中, 如此一来多签便完完全全变成了单签。

为防范那些风险, 提议将签名地址分散至不同设备, 不同操作系统, 乃至不同网络环境之中，像冷钱包配合硬件设备来使用。与此同时, 定期去检查合约权限, 把不必要的地址授权予以取消。多签并非终点, 而是安全流程的起始点, 每一步的疏忽皆有可能致使这道防线宛如不存在。