拥有私钥就可以转移资产？警惕波场多签陷阱

使用加密货币钱包、交易所等产品，最重要的事情莫过于保护资产安全。“CoinEx Wallet 安全必知”将从多角度分享常见诈骗套路、如何安全使用加密货币产品、区块链安全机制等科普知识，帮助您全面了解并加强资产安全保护措施。

 

骗局回顾

 

在加密市场中，大家会经常看到说，拥有私钥就可以转走你的资产，所以一定要谨慎保管好自己的资产。而最近有不少人在社群里会看到这样的信息。

 

 

诶，还有这么好的事情，竟然有人会傻到自己把私钥发出来，岂不是给人白白送钱，这还不赶紧看看！

 

通过该用户发出来的助记词推算出对应的波场地址为：TNCCpquVqxhLYsDPAckj7mTXFhQEHHwTvo，直接去Tron区块浏览器上查询，我们可以看到，该地址确实有不少USDT，如下图：

 

 

哇，竟然真的有人手里有这么多USDT还把私钥发出来，这还不赶紧通过私钥把USDT转出来，先下手为强，得赶紧的，不然晚了就是别人的了。

 

于是，你顺利将助记词导入Tronlink或者CoinEx Wallet，然后开始转币（本文图片均为测试环境演示）。这个时候，我们会看到钱包友情提醒：“可用带宽不足，将为您自动扣除本次交易所需要燃烧的TRX”，而这个钱包地址中的TRX不够支付。于是你赶紧从交易所或者其他钱包转入20 TRX，和这高额USDT相比，这点TRX算什么。

 

转完TRX之后，终于可以操作了，赶紧把USDT转出来：

 

 

接下来就是紧张的广播和确认时刻，一边等着打包一边狂喜，没想到天上真的有馅饼掉，这分分钟几百USDT到手。花了几分钟脑补用这个钱来买些什么之后，再看一眼钱包。不对啊，怎么一直在确认中？

 

 

好吧，刷新一下看看，诶，刷新了之后怎么交易没了？？？

 

 

上区块浏览器上再查看一眼，会发现我们那笔交易并不存在，再查看一下这个地址的余额，除了多出来我转到这个地址的20 TRX，其他都没有发生变化。

 

 

所以怎么回事，明明有了私钥还是转不出来，这时候大家一定会感觉到不对了，准备先把自己的那20TRX转出来，结果发现那20TRX也转不出来了。这时候才恍然大悟，我是不是被骗了？

 

复盘：原来是TRX多签钱包的锅

 

那么为什么持有该地址的私钥，但没办法操作这个地址下的token呢？说好的拥有私钥就可以转移资产呢？

 

这就得了解下波场的tip6协议，一个账户会涉及三个权限，owner、witness以及active权，对于普通地址来说，owner和active都是这个地址本身。

 

我们随便找一个普通地址，例如TNVQkFEsD9wCDcj3krvfT6rgZbBRyRDVWB. 通过区块浏览器可以查询到这个地址的权限（当然，懂技术的朋友也可以直接通过接口"wallet/getaccount"查看），如下图，我们可以看到他的owner和active都是这个地址本身。

 

 

我们再来看文章开头提到的地址：TNCCpquVqxhLYsDPAckj7mTXFhQEHHwTvo，如下图：

 

 

通过上面的查询可以看到，地址TNCCpquVqxhLYsDPAckj7mTXFhQEHHwTvo本质是一个多签地址，该地址的owner并不是这个地址本身，而是另一个地址。所以这个地址其实是被另一个账户控制的，并不受该地址的私钥控制。这也就解释了，为啥我们没法通过这个地址的私钥进行USDT转账、TRX转账以及合约等操作了。

 

复盘到这里，我们就可以确定这种骗局的套路了：你盯着他钱包里的USDT，他只想赚你手续费TRX。

 

所以各位朋友们切记，天下没有免费的午餐，收好自己的贪心，多个心眼。你以为是别人傻乎乎给你发私钥，结果最后被骗的是你。所以还是管好自己的钱包，保护自己的币，不要轻易给别人转账。