TP钱包被多签怎么办?律师拆解线下当面交易USDT被盗的技术手段

This article is not available in the current language yet. Showing the original version.
邵诗巍
邵诗巍
在平时的咨询当中,邵律师会遇到这样一类咨询者,他们明知自己的虚拟货币就是被对方卷走的,有的甚至是多年的好朋友,但自己却没有任何证据。当地公安也不懂,所以不予立案。或者即便公安找对方沟通,行骗者或盗窃者往往会有很强的心理素质,他们会赌公安查不到。所以,无论在调查时被怎么问,也都会一口咬定不是自己偷的。这种情况下,对于维权者来说,往往也是最绝望的。 前段时间,邵律师还遇到一个咨询,数百万的虚拟币被多年的闺蜜卷走,自己却束手无策——报案了,公安也询问了闺蜜,但由于对方否认是自己盗的U,所以公安未予立案。 今天邵律师同样接到了一个虚拟货币被盗的咨询。据咨询者描述,双方交易虚拟货币是线下当面交易的。

在平时的咨询当中,邵律师会遇到这样一类咨询者,他们明知自己的虚拟货币就是被对方卷走的,有的甚至是多年的好朋友,但自己却没有任何证据。当地公安也不懂,所以不予立案。或者即便公安找对方沟通,行骗者或盗窃者往往会有很强的心理素质,他们会赌公安查不到。所以,无论在调查时被怎么问,也都会一口咬定不是自己偷的。这种情况下,对于维权者来说,往往也是最绝望的。

前段时间,邵律师还遇到一个咨询,数百万的虚拟币被多年的闺蜜卷走,自己却束手无策——报案了,公安也询问了闺蜜,但由于对方否认是自己盗的U,所以公安未予立案。

今天邵律师同样接到了一个虚拟货币被盗的咨询。据咨询者描述,双方交易虚拟货币是线下当面交易的。对方转了几万U给自己,然后称想看一下手机,确认虚拟币是否到账。咨询者说自己只是把手机给对方看了一下,结果钱包就被多签了——U虽然还显示在账户里,但已经转不出来了。

I 本文作者:邵诗巍律师

这位咨询者的原话是:

我的手机被对方拿了不到一分钟,他说看一下有没有到账,交易完之后,我发现自己的钱包就被多签了。

很显然,这个作案手段和常见的因信任朋友而泄露助记词、导致虚拟币被转走的情形不同。所以,值得拿这个案例来讨论,分析对方可能的盗U手法,也提醒大家保护好自己的资产。

1USDT是怎么被盗的?

根据咨询者自己的分析,对方可能是通过隐藏的摄像头(如眼镜、纽扣)将钱包的私钥或助记词传输给后台同伙。

但是,TP钱包导出私钥或助记词通常需要输入支付密码或进行生物认证,对方不太可能在不到1分钟内突破这个环节。而且如果获得了私钥,骗子更合理的做法是直接转走U,而不是费力去设置多签。

除非骗子的策略是:先设多签锁住钱包,防止受害人反应过来之前把U转走;同时偷偷导出私钥留作后手,等后续再通过其他方式转走资产。但这需要在不到1分钟内完成两步操作,难度较大。

而且,远程同伙看到画面后并不能直接操作受害人的手机,最终的链上交易签名仍然需要在受害人的手机上完成。所以远程同伙最多能起到"指导"作用——告诉现场的人点哪里、怎么操作。如果对方本身对这套流程已经很熟练,远程协助并非必要条件。

2波场链多签盗U技术手段分析

线下面交多签骗局最高发的是波场(TRON)链。因为线下面交USDT,十个有九个走的是波场链——转账速度快、手续费低。而波场链恰好有一套区别于以太坊的底层设计:每个账户自带原生的权限管理体系,分为三级——Owner权限、Active权限和Witness权限。Owner是最高权限,可以修改一切包括自身;Active权限控制日常转账和合约调用。

这套权限管理体系的设计初衷是为了更好地保护用户资产,但被骗子利用后,反而成了盗取资产的工具。

可能的作案手法推测:

对方拿到手机后,大概率是通过TP钱包内置浏览器,访问了一个预先准备好的恶意页面。该页面触发了波场链上的AccountPermissionUpdate交易,利用钱包当时处于解锁状态的条件完成了签名确认,将受害人钱包的Owner/Active权限改为多签,或者直接转移给了骗子控制的地址。

通过这个路径,恶意页面可以提前写好所有参数(新增的权限地址、阈值等),现场只需要打开链接、点一下确认,几十秒内就能完成。这与咨询者所描述的"不到1分钟"完全吻合。

为什么受害人当时没发觉呢?因为AccountPermissionUpdate是一笔独立的链上交易,不涉及任何代币转移,钱包余额不会变化。U仍然显示在账户里,表面上看一切正常。只有当受害人之后尝试转账时,才会发现需要额外签名,自己无法单独操作。

简单说就是:U还在你钱包里,但钱包的锁已经被换了,钥匙在骗子手上。

以上就是对咨询者虚拟币被盗的可能情形进行的分析。但对方原本就是在飞机(Telegram)上联系的人,而且案发后也尝试报警,但公安不受理,所以这笔钱大概率是追不回了。

3律师提示:怎么检查自己的钱包有没有被多签?

如果你也在做线下交易,或者担心自己的钱包权限是否被篡改,可以自己动手查一下:

打开波场链的区块浏览器TRONSCAN(tronscan.org),在搜索栏里输入自己的钱包地址(T开头的那串字符),进入账户详情页后,往下找到"Account Permission"(账户权限)板块。正常情况下,Owner权限下面应该只有你自己一个地址,权重为1,阈值为1。如果你发现多出了陌生地址,或者阈值被改成了2或更高,说明你的钱包已经被恶意多签了。

前述案例中,咨询者使用的是TP钱包。其实TP钱包很早就支持了波场更改权限操作的预警提示,慢雾安全团队也曾对钱包被恶意多签的风险进行过分析并列举相关案例(下图)。只是这类专业的犯罪手法对普通的交易者来说,还是有一定门槛的。这也是为什么虚拟币盗窃案大量存在的原因。

4题外话

虚拟货币类案件,从取证上来说,相较于传统案件确实存在一定难度。这就导致很多不法分子存在侥幸心理。从邵律师每天接到的大量咨询和案件来看,虚拟货币黑吃黑、盗窃、诈骗类的案件,其实每天都在大量发生。但人会不会被抓,就是个概率问题。

有一部分人赌赢了,获得了不法的巨额财富,且并没有被追责;当然也有一部分人赌输了,被立案侦查,面临牢狱之灾。这也是为什么我们作为刑事律师会代理大量涉币类案件的原因。

但从现实层面来讲,虚拟货币案件涉及的技术门槛较高,部分基层办案单位在受理和侦办此类案件时确实面临一定困难,这也是客观现状。

所以,最后提醒大家,守好自己的钱袋子。否则维权从现实层面来讲,确实是难之又难。

特别声明:本文为邵诗巍律师的原创文章,仅代表本文作者个人观点,不构成对特定事项的法律咨询和法律意见。

Share to:

Author: 邵诗巍

Opinions belong to the column author and do not represent PANews.

This content is not investment advice.

Image source: 邵诗巍. If there is any infringement, please contact the author for removal.

Follow PANews official accounts, navigate bull and bear markets together
Telegram Discussion Group
Telegram News Channel
@PANews
Recommended Reading
邵诗巍

邵诗巍

邵诗巍律师 | 非法买卖外汇被抓后,流水都会算犯罪金额吗?换汇金额、获利金额如何扣减
邵诗巍

邵诗巍

为什么币圈 KOL 去报案维权,最后却把自己送进了看守所?
邵诗巍

邵诗巍

刑拘 37 天,第一批靠“AI 中转站”发财的人开始进去了
邵诗巍

邵诗巍

给Polymarket做插件也违法?这三类工具最容易被盯上
邵诗巍

邵诗巍

涉案流水4.6亿!非法介绍买卖外汇类非法经营案,邵诗巍律师介入后终获缓刑
邵诗巍

邵诗巍

虚拟货币项目被指控传销,辩护的核心在哪里?——从静态收益与动态收益的资金来源切入

Popular Articles

Industry News
Market Trends
Curated Readings
Subscribe
PANews App
24/7 blockchain news tracking and in-depth analysis.
Download PANews App
App StoreGoogle Play
PANews APP
US stocks closed mixed, with COIN falling more than 3.79%.
PANews Newsflash