术语表

TRON 安全
通俗解读。

TRC-20 授权、calldata、AML 信号、钓鱼模式、风险评分及 TRONSEC 终端中其他链上概念的参考说明。

文档 常见问题
跳转到术语

TRON / TRX

TRON 是 2018 年上线的高吞吐公链。TRX 是其原生代币,用于支付手续费、质押获取网络资源及投票超级代表。

TRONSEC 仅分析 TRON 主网(TronGrid 与 TronScan 使用的链 ID)。测试网及其他链不在范围内。

TRC-20

TRC-20 是 TRON 同质化代币标准,相当于以太坊 ERC-20。每个 TRC-20 合约提供 transfer()、balanceOf()、approve() 与 allowance()。

在 TRON 上持有 USDT 是 USDT 合约内的余额,不是 TRX。兑换、转账与盗刷均通过 TRC-20 调用完成,TRONSEC 可解码并标记。

钱包扫描器

代币授权

代币授权让 spender 合约无需你逐笔签名即可从你的钱包划走指定 TRC-20。你调用一次 approve(spender, amount),spender 之后调用 transferFrom()。

授权是 TRON 上头号静默盗刷途径:恶意 dApp 可在数月后转走已批准代币。TRONSEC 列出每个代币的活跃 spender 与额度。

授权监控

无限授权

无限授权将 allowance 设为 2²⁵⁶−1(uint256 最大值)。dApp 借此免重复授权,但 spender 可随时转走全部代币余额。

最佳实践:仅批准所需额度、撤销未用 spender、将未知合约的无限 USDT 授权视为严重风险。授权监控以红色标出 uint256 最大值。

授权监控

智能合约

智能合约是部署在 TRON 地址上的字节码,可持有 TRX 与 TRC-20、执行调用逻辑并在 TronScan 上发出事件。

TRONSEC 合约扫描检测代理模式、mint、仅 owner 控制、未验证字节码及常见于蜜罐与 rug 的 ABI,且不执行合约。

合约扫描

TXID

TXID(交易 ID)是 TRON 交易唯一的 64 位十六进制哈希,出现在钱包、Tron扫描 URL 与 API 中 — 签名前可粘贴到 TX 解码器检查。

各索引器使用同一 TXID。链上失败的交易仍有 TXID,但状态回滚 — 解码器对失败交易也显示意图。

TX 解码器

Calldata

Calldata 是合约调用的载荷,通常为 ABI 编码的十六进制,指定函数与参数。钱包常只用一行摘要隐藏。

TRONSEC 将 calldata 映射为 transfer、approve、increaseAllowance、swapExactTokensForTokens 等方法并解码地址与金额 — 可发现「领取奖励」交易中的隐藏授权。

TX 解码器

AML 筛查

TRONSEC 中的 AML 指将地址与公开诈骗报告、社区观察名单及资金流启发式交叉比对 — 非受监管的身份核查。

高风险标签(制裁相关、混币器暴露、peel chain)会提高钱包评分。TRONSEC 说明触发原因并在可能时链接公开来源。

AML 风险检查

钓鱼 dApp

钓鱼 dApp 克隆真实 TRON 服务(SunSwap、质押门户、空投页)诱骗你签署授权或泄露助记词。

TRONSEC 钓鱼扫描匹配域名仿冒、新注册仿站、钱包窃取 JS 模式及社区诈骗模块举报的 URL。

钓鱼扫描

观察名单

TRONSEC 观察名单是社区汇总的诈骗地址、drainer 合约与恶意域名,来自用户举报与公开黑名单。

单次观察名单命中不证明有罪 — 仅提高人工复核优先级。已确认社区举报权重高于启发式匹配。

文档 — 观察名单

风险评分

钱包风险评分 0–100 综合观察名单暴露、授权卫生、与标记合约交互、账户年龄及进出模式。

评分为启发式,非法律结论。低分不保证安全;高分表示更多红旗,汇款前需格外谨慎。

文档 — 方法论

只读扫描

只读指 TRONSEC 通过 TronGrid 与 TronScan 查询公开链上数据 — 不接触私钥、不签名交易、不托管资产。

验证方式:扫描时打开 Dev工具 → 网络,请求发往 TRON 公共 API,而非 TRONSEC 后端保存地址。

安全模型

能量与带宽

带宽用于简单转账与创建账户;能量用于智能合约执行。均可通过冻结 TRX 或市场租赁获得。

能量不足时自动燃烧 TRX — 拥堵时昂贵。网络分析显示实时燃烧率、能量价格与 TPS,便于安排重合约操作。

网络分析

TronGrid & TronScan

TronGrid 是连接 TRON 节点的官方 JSON-RPC/REST 网关,用于余额、交易与合约调用。TronScan 是带标签、验证状态与合约页面的区块浏览器。

TRONSEC 结合两者:TronGrid 提供原始吞吐,TronScan 提供合约名、代币图标与已验证源码以改进解码。

代理合约

代理合约将存储与逻辑分离:用户与稳定代理地址交互,owner 可指向新实现字节码 — 升级而无需迁移用户授权。

恶意代理可一夜将实现换成 drainer。TRONSEC 在合约扫描与 TX 解码输出中标记代理模式、未初始化实现与升级事件。

合约扫描