擁有私鑰就可以轉移資產？警惕波場多簽陷阱

使用加密貨幣錢包、交易所等產品，最重要的事情莫過於保護資產安全。「CoinEx Wallet 安全必知」將從多角度分享常見詐騙套路、如何安全使用加密貨幣產品、區塊鏈安全機制等科普知識，幫助您全面瞭解並加強資產安全保護措施。

 

騙局回顧

 

在加密市場中，大家會經常看到說，擁有私鑰就可以轉走你的資產，所以一定要謹慎保管好自己的資產。而最近有不少人在社群里會看到這樣的信息。

 

 

誒，還有這麼好的事情，竟然有人會傻到自己把私鑰發出來，豈不是給人白白送錢，這還不趕緊看看！

 

 

通過該用戶發出來的助記詞推算出對應的波場地址為：TNCCpquVqxhLYsDPAckj7mTXFhQEHHwTvo，直接去Tron區塊瀏覽器上查詢，我們可以看到，該地址確實有不少USDT，如下圖：

 

 

哇，竟然真的有人手裡有這麼多USDT還把私鑰發出來，這還不趕緊通過私鑰把USDT轉出來，先下手為強，得趕緊的，不然晚了就是別人的了。

 

 

於是，你順利將助記詞導入Tronlink或者CoinEx Wallet，然後開始轉幣（本文圖片均為測試環境演示）。這個時候，我們會看到錢包友情提醒：「可用帶寬不足，將為您自動扣除本次交易所需要燃燒的TRX」，而這個錢包地址中的TRX不夠支付。於是你趕緊從交易所或者其他錢包轉入20 TRX，和這高額USDT相比，這點TRX算什麼。

 

 

轉完TRX之後，終於可以操作了，趕緊把USDT轉出來：

 

接下來就是緊張的廣播和確認時刻，一邊等著打包一邊狂喜，沒想到天上真的有餡餅掉，這分分鐘幾百USDT到手。花了幾分鐘腦補用這個錢來買些什麼之後，再看一眼錢包。不對啊，怎麼一直在確認中？

 

 

好吧，刷新一下看看，誒，刷新了之後怎麼交易沒了？？？

 

 

上區塊瀏覽器上再查看一眼，會發現我們那筆交易並不存在，再查看一下這個地址的餘額，除了多出來我轉到這個地址的20 TRX，其他都沒有發生變化。

 

 

所以怎麼回事，明明有了私鑰還是轉不出來，這時候大家一定會感覺到不對了，準備先把自己的那20TRX轉出來，結果發現那20TRX也轉不出來了。這時候才恍然大悟，我是不是被騙了？

 

 

復盤：原來是TRX多簽錢包的鍋

 

 

那麼為什麼持有該地址的私鑰，但沒辦法操作這個地址下的token呢？說好的擁有私鑰就可以轉移資產呢？

 

 

這就得瞭解下波場的tip6協議，一個賬戶會涉及三個權限，owner、witness以及active權，對於普通地址來說，owner和active都是這個地址本身。

 

 

我們隨便找一個普通地址，例如TNVQkFEsD9wCDcj3krvfT6rgZbBRyRDVWB. 通過區塊瀏覽器可以查詢到這個地址的權限（當然，懂技術的朋友也可以直接通過接口"wallet/getaccount"查看），如下圖，我們可以看到他的owner和active都是這個地址本身。

 

 

我們再來看文章開頭提到的地址：TNCCpquVqxhLYsDPAckj7mTXFhQEHHwTvo，如下圖：

 

 

通過上面的查詢可以看到，地址TNCCpquVqxhLYsDPAckj7mTXFhQEHHwTvo本質是一個多簽地址，該地址的owner並不是這個地址本身，而是另一個地址。所以這個地址其實是被另一個賬戶控制的，並不受該地址的私鑰控制。這也就解釋了，為啥我們沒法通過這個地址的私鑰進行USDT轉賬、TRX轉賬以及合約等操作了。

 

 

復盤到這裡，我們就可以確定這種騙局的套路了：你盯著他錢包里的USDT，他只想賺你手續費TRX。

 

 

所以各位朋友們切記，天下沒有免費的午餐，收好自己的貪心，多個心眼。你以為是別人傻乎乎給你發私鑰，結果最後被騙的是你。所以還是管好自己的錢包，保護自己的幣，不要輕易給別人轉賬。