TRON(トロン)のオーソリティアップグレードを利用したフィッシング詐欺に注意！！

※この記事は、日本語へ翻訳されたものです。
英語記事はこちら

Phishing Scams of Using Tron Authority Upgrade

TRONのマルチシグウォレットの活用シーン

TRONのマルチシグウォレットは、一般的にアクティブマルチシグとパッシブマルチシグに分けられます。アクティブマルチシグは、ユーザーがマルチシグウォレットを設定し、資産の安全性を強化するための措置です。パッシブマルチシグとは、ユーザーが実行するつもりのないマルチシグ操作を指します。

マルチシグにつながる可能性のある次のシナリオをまとめました。

1. ユーザーがマルチシグを設定すると、管理者は操作を実行するために署名する必要があります。

2. サードパーティは、ウォレットをマルチシグウォレットとして設定するためにニーモックフレーズ/秘密鍵を取得します。

3. マルチシグウォレットに設定したニーモックフレーズ/秘密鍵をインターネットから取得します。

4. 不明なソースの悪意のあるリンクにアクセスし、署名することで権限のアップグレードを完了します。

ウォレットアドレスの作成後、デフォルトの署名設定はシングルシグであり、チェーン上のあらゆる操作を実行できます。アドレスがマルチシグの場合、ユーザーまたはニーモックフレーズ/秘密鍵を取得したサードパーティが実行する必要があります。

TRONのマルチシグウォレットについて

TRONのマルチシグメカニズムは、しきい値と重みを設定することで、複数の署名者の相互確認のみで特定の操作を行うように制限するセキュリティ対策です。

マルチシグメカニズムでは、しきい値は、特定の操作を実行する前に確認する必要があるマネージャーの数を指します。たとえば、しきい値が2の場合、特定の操作を確認するには少なくとも2人のマネージャーが必要です。しきい値はマルチコントラクトで設定でき、特定の要件に従って調整できます。

重みとは、各マネージャーの重みを指し、マルチマネージャー運用における各マネージャーの割合を決定します。たとえば、しきい値を 2 に設定し、署名者 2 人の重みを 1 に設定した場合、特定の操作は、署名者 2 人の重みが 1 であることが確認された後にのみ有効になります。重みの設定を設定する必要があります。すべての署名者の重量の合計が総重量に等しいという要件を満たす必要があります。

しきい値と重みを設定することにより、TRONマルチシグメカニズムはコントラクトのセキュリティを向上させ、コントラクトが不正な操作によって改ざんされたり、悪意のある操作のために攻撃者によって使用されたりするのを防ぐことができます。

TRONのマルチシグ詐欺

TRONのオーソリティアップグレードは、アプローブとは異なります。
アプローブは、アプローブされたトークンのみが影響を受けますが、オーソリティアップグレードはアドレスの権限の変更につながり、アドレスの管理権限を失います。

TRONのオーソリティーアップグレードは、TRC20のデポジットプロセスの一部で発生することがよくあります。

たとえば、検証コードプラットフォームデポジットを使用して、燃料カードやギフトカードを購入するための価格を最適化するなどです。

ユーザーがデポジットのために提供されたリンクを使用すると、悪意のあるオーソリティアップグレードのコードが呼び出され、ユーザーが直接確認してパスワードを入力して署名すると、TRONウォレットのオーソリティアップグレードが行われます。

オーソリティアップグレードを悪用した詐欺の例

悪意のあるWebサイトの入金画面からウォレットに遷移して開きます。
送金先のアドレスはUSDTのコントラクトアドレスです。[今すぐ支払う] をクリックすると、転送するアドレスをコピーしないように通知されます。
これは、ユーザーに悪意のあるコードをバイパスしてトランザクションを実行されないようにするためです。

[今すぐ支払う] をクリックすると、取引明細が表示されます。進行中の操作と考えられるリスクに関する情報を確認できます。

2番目の矢印の位置をクリックすると、オーソリティアップグレード (アカウントのアクセス許可のアップグレード) の役割とリスクを表示できます。リスクを無視して確認操作を実行すると、オーソリティアップグレードが行われ、ウォレットアドレスが悪意をもったWebサイトによって署名されます。次に、転送時にリマインダーが表示されます。

マルチシグの本来の目的はユーザーの資産を保護することですが、悪意を持った人物に利用されると資産を盗むためのツールになりますので、TokenPocketの注意事項を十分に注意してよくお読みください。

また、このような悪意を持ったWebサイトを見かけられた場合は、 service@tokenpocket.proにメールを送信して報告してください。

検証後、リンクをローカライズして、他のTokenPocketユーザーが被害に遭わないようにします！

TokenPocketについて

TokenPocketは、BTC、ETH、BNB、TRON、Polygon、Aptos、Solana、HECO、Klaytn、Avalanche、OKC、HSC、Fantom、Polkadot、Kusama、IOSTなど主流のパブリックチェーンをデフォルトでサポートし、すべてのEVM互換、Polkadot互換、EOS互換のパブリックチェーンに対応する世界有数のマルチチェーンのセルフカストディアルウォレットです。

これまでに、全世界200カ国以上、2000万人以上のユーザーに信頼性の高いサービスを提供し、月間アクティブユーザー数は350万人を超えています。

TokenPocketはiOS、iPadOS、Android、Chrome拡張、Windows、MacOS、ハードウェアウォレットを提供しており、あらゆるデバイスからご利用いただけます。

また、Transit FinanceやKeyPalをはじめとする、様々なサービスや製品がございます。

公式サイト:
https://tokenpocket.pro/

>>TokenPocket日本公式はこちら！

Twitter:
https://twitter.com/TokenPocket_JP

Telegram:
https://t.me/tokenpocket_jp

note:
https://note.com/tokenpocket/

注意事項

･最新情報に関しては、公式Twitter(@TokenPocket_JP)またはTelegramコミュニティをご確認頂きますようお願いします。

･TokenPocketの管理者やサポートから先にDMやPMを送信することは一切ありません。

･TokenPocketはセルフカストディアルウォレットです。ユーザーのウォレットを操作してサポートすることはできません。

･ニーモニックフレーズ/秘密鍵は端末に暗号化して保存され、サーバーに送信されることはありません。

･ニーモニックフレーズ/秘密鍵は他人に絶対教えないよう、厳重に管理してください。