近期，TRX 多重簽名騙局異常猖獗，騙子通過誘導用戶下載假 imToken 等方式獲取用戶的助記詞，但是卻不直接將用戶的資產盜走，而是通過修改用戶的 TRX 錢包賬戶權限，導致用戶失去對賬戶內資產的控制權，只能將代幣轉入錢包，卻無法轉出。

本文將揭秘 TRX 多重簽名騙局具體是如何實施的，以及我們該如何防范這類騙局。

什么是 TRX 多重簽名騙局

當我們創建了一個 TRX 錢包后，這個錢包賬戶默認的擁有者權限為賬戶本人，閾值為 1，即錢包轉賬需持有一個擁有者權限的地址進行簽名授權才能發起。

注：擁有者權限是指一個 TRX 賬戶的最高權限，具有該權限的地址可進行該賬戶內的所有操作。

而當騙子獲取了用戶助記詞，對其 TRX 賬戶權限進行修改后，用戶地址的擁有者權限變為用戶本人和騙子共同持有，閾值為 2，即錢包轉賬需要兩個擁有者權限的地址——用戶的地址和騙子的地址，共同簽名授權才能發起。

由于此時 TRX 錢包的轉賬需要多重簽名（用戶地址的簽名和騙子地址的簽名）才能完成，所以這類騙局被稱為 TRX 多重簽名騙局。

這就意味著，當用戶的 TRX 賬戶被騙子更改為需多重簽名的地址后，用戶發起的任何交易，都需要騙子的簽名授權才能完成，如果只是用戶單方面發起交易，就會遇到類似「server：SIGERROR」的報錯。

你可能會疑惑，為什么用戶擁有自己賬戶的助記詞 / 私鑰，也無法「獨立完成」資產的轉出操作。

以合伙開公司的例子解釋一下，你就明白了。假設有一家公司有兩個合伙人，他們在這家公司成立之初規定：所有的重大決策要兩個合作人都同意進行簽名授權，即多重簽名，才可以執行。若有一方不同意，決策則不通過。

被騙子修改為多重簽名的 TRX 賬戶就像是這樣一家公司，即便用戶持有錢包助記詞，但也已經無法「獨立完成」對這個錢包的轉賬等重大操作。

用戶只能將資產轉入這個賬戶，卻無法轉出，騙子就是利用這一點從而「放長線釣大魚」，等到用戶在賬戶中積累了足夠的資產后再一次性盜走。如果一個用戶從來都是只收款不轉賬，且不去鏈上查看自己的賬戶權限，那他可能會一直蒙在鼓里并持續地向這個賬戶轉錢。

另外，騙子除了通過誘導用戶下載假 imToken 方式外，還會通過以下兩類方式利用多重簽名詐騙：

在 Telegram 等社交平臺推廣充值網站，誘導用戶使用數字資產進行充值，實際上是趁用戶充值時獲取賬戶的擁有者權限，導致用戶失去對賬戶的控制權；

在 Telegram、微信等社交平臺公開自己的助記詞 / 私鑰，誘導用戶轉入 TRX 作為手續費以轉走錢包內的資產，但實際騙子早已將擁有者權限轉移，最終導致用戶損失 TRX。

安全提醒

天下不會有免費的午餐，切莫貪小便宜

如何查詢賬戶權限

1. 打開 TRX 錢包，切換至「瀏覽」頁面輸入 TRONSCAN 并打開。

    2. 在輸入框輸入錢包地址并搜索，跳至賬戶信息頁面并下滑至「賬戶權限」板塊。

    3. 如圖所示，如果有且只有你的地址持有擁有者權限，說明你的賬戶權限是安全的。