众所周知，在多签机制下，支持多名用户联合控制同一个资产账户。我们可以把多签机制想象成是一把有着多个锁孔的锁，只有多名用户同时使用钥匙才能打开它。那么需要多少个用户签名确认才能对账户执行操作呢？这个具体的数字也被称作“阈值”。如果阈值是 2，那么说明至少需要 2 个签名才能进行确认。

需要注意的是，阈值可以在多签合约中进行设置并根据实际需求进行修改。以 TRX 钱包为例，创建新账户后，该账户的最高权限默认为账户本体，此时阈值为 1，即对该账户的任何操作都需要账户所有者进行签名授权。

而在骗子通过某种手段获取了用户的助记词或私钥后，便可以对账户权限进行修改，让用户地址的最高权限变为用户本人和骗子共同所有，此时阈值变为 2。在这种情况下，用户单独转账是无法进行的，会出现报错提醒。因为用户在进行任何操作时，都需要用户地址和骗子地址共同签名授权才能执行。

而骗子一方面拥有了用户账户私钥，再利用多签机制与自己的账户相配合，可以顺利转走用户的资产。理论上，只要用户不查询账户权限阈值，不进行操作，就无法发现自己已经对钱包账户失去控制。由于此时账户内代币只能转入而无法转出，一些不法分子会等待账户资金累积，放长线钓大鱼，最终实现一次性收割。

不难发现，整个过程中最关键的一环是，用户的助记词或私钥是如何泄露的。最为常见的情况是用户通过钓鱼网站下载到假钱包，用户使用假钱包时也会生成私钥和助记词，然后被假钱包后台窃取。

另一种泄露方式是钓鱼链接。例如，骗子建造一个以低价购买各类卡券或充值的网站，当用户使用他们提供的链接进行充值时，会诱导用户输入自己的私钥或助记词。不仅如此，钓鱼链接还会调用账号权限变更代码，导致用户钱包权限发生变化。

此外，还有一种多签骗局并不需要窃取用户的私钥，而是利用高倍返现吸引用户向骗子账户充值。骗子往往伪装成小白，以不会操作为由将自己的私钥助记词提供给用户，让用户帮忙操作。殊不知骗子早已将账户设置多签账户，用户一旦进行转账行为，资金便有去无回。

总的来说，多签机制的确是可以有效守护账户安全的保护机制。不过，一旦用户失去了对账户的控制权，多签机制就变成了骗子实施不法行为的有效工具。就像再高级的防盗门，在弄丢钥匙的情况下也是形同虚设。因此，用户应当树立安全意识，意识到飞来横财往往是飞来横祸。

责任编辑：

Ham,Wendy,Jesse