imToken 上丢失了 200 ETH?

admin 2024-06-19 737次阅读

imToken 是一款全球领先的区块链数字资产管理工具[ZB],帮助你安全管理BTC, ETH, ATOM, EOS, TRX, CKB, BCH, LTC, DOT, KSM, FIL, XTZ 资产,同时支持去中心化币币兑换功能 ...

官网下载安装包怎么安装

7月15日凌晨02:48,用户钱包中的195.55ETH消失。

官网下载安装QQ

EBK的季先生在自己的钱包里预留了上币费,7月14日22点尝试转账失败,7月15日凌晨1点断网,7月15日凌晨再次尝试转账时,发现钱包里的资产全部被转走了。7月21日,季先生也通过各种渠道联系到了孙峰先生。

以下是聊天内容:

官网下载安装包怎么安装_imToken官网下载安装_官网下载安装QQ

官网下载安装包怎么安装_官网下载安装QQ_imToken官网下载安装

整个过程表述如下:此次ETH被盗事件与案件无关,都是因为用户私钥泄露,无法恢复。如需追查,可以先发工单找人询问具体流程。

根据涉事方提供的信息:该手机为安卓系统,品牌为联想MoTO手机,专门为了存放ETH而买的,平时不联网,仅在转币时联网几分钟。事发后,该手机被送至北京某知名网络安全公司检测,未发现手机中存在木马等安全问题。私钥被锁在保险柜中,泄露的可能性很小。怀疑钱包存在安全漏洞。

官网下载安装包怎么安装_imToken官网下载安装_官网下载安装QQ

这张图反映的是被盗之后 ETH 的流向,右上角是主人季先生的地址,左下角三个是币的最终去向。(左上角的是空投币地址,可以忽略)

韓國

imToken官网下载安装_官网下载安装QQ_官网下载安装包怎么安装

近年来,以太坊盗窃事件频发:

2017年7月19日,.5以上多重签名钱包出现安全漏洞,15万个以太坊ETH被盗,总价值达3000万美元。

2017年4月22日,韩国一家比特币交易所成为黑客攻击的最新受害者。该交易所员工在社交媒体上发布公告,确认有3831个BTC被盗,市值约500万美元。这相当于该平台总资产的37.08%。所有损失将由用户平均分担。

2016年8月4日,全球最大的数字资产交易平台之一被盗,价值超过6000万美元的比特币。

2016年6月17日,区块链行业最大的众筹项目(攻击前资产规模约1亿美元)遭遇攻击,导致300多万以太坊资产从资产池中分离出来。

2014年2月28日,全球最大比特币交易平台运营商Mt.Gox宣布其交易平台上的85万枚比特币全部被盗,包括用户交易账户中的约75万枚比特币,以及Mt.Gox自身账户中的约10万枚比特币。根据2014年2月28日交易市场行情,损失预估约为4.67亿美元,这直接导致了Mt.Gox的破产。

此次黑客攻击、盗币事件,有几种情况。

1. 个人私钥泄露

据相关人士反馈,私钥是记录在纸上并锁在家里的保险箱里的,所以这种可能性应该可以排除。

2.私钥被黑客破解

理论上,黑客可以制造大量的哈希碰撞,但是由于数字对的数量非常多,因此这种可能性非常小。

3. 使用过程中软件被注入木马

手机是安卓系统,品牌是联想MoTO,专门用来存ETH买的,平时不联网,只有转币的时候联网几分钟。事发后手机被送到北京某知名网络安全公司检测,手机中没有发现木马等安全问题。这个选项也可以排除。

4.软件本身存在漏洞

它是一款手机轻钱包App应用,于2017年2月14日在ICO DApp上线并发布,但是没有开源代码imToken,所以不排除软件本身存在漏洞。

5. 从非官方渠道下载泄露的私钥

通过第三方渠道下载

使用第三方提供的不受信任的 Apple ID

由于区块链地址的匿名性等特性,被盗资产无法追踪、无法追回,希望此次事件能够引起大家对自身数字资产的重视。

教你如何更好地保护你的数字货币

1. 不要轻易安装应用程序

下载钱包时请认准相应钱包的官网地址,不要安装来源不明的钱包应用。

2. 用黑笔白字写下助记词

密码(及助记词)最好记在心里,想不起来就记下来。切勿将助记词截图保存在相册或连接网络传输或保存私钥(助记词)。使用QQ、微信等即时通讯软件传输私钥,切勿随便泄露给他人。

3. 设置复杂密码并备份钱包

4. 批量存储不同的钱包

大部分加密货币钱包都是去中心化钱包,一旦发生意外,用户资产丢失后很难追回。如果持有大量数字货币,分批存放在不同的钱包中更为稳定安全。考虑使用冷钱包来存储大量数字资产。

5. 小心网络钓鱼软件

在论坛、社区下载文件时要谨慎,不要点击来历不明的链接,以免被钓鱼软件欺骗,反复检查访问的域名是否为虚假网站。

6.反复确认转账对象及地址

交易不可逆,一旦转账,钱就成了别人的钱,所以转账时一定要反复确认转账对象和地址。

7. 防止病毒和木马进入你的手机

身处区块链领域,难免要下载一些程序等,建议存储区块链资产的手机与正常上网的手机分开,避免病毒、木马程序窃取密码和资产。

8. 不要贪图小利

另外请注意,有些空投糖果请在点击注册前核实注册链接,以免因小失大;小额数字资产尽量存放在ABCC等靠谱交易所,说不定还能收到糖果等意想不到的惊喜。

9. 交易所应加强对USDT充提漏洞的关注

2018年6月28日,某安全公司突然发表声明:提醒各大交易所尽快暂停USDT充值功能,并检查代码是否存在逻辑缺陷。

安全公司通报称,交易所在检查USDT充值交易是否成功时存在逻辑缺陷,没有验证区块链上交易明细中的valid字段是否真实,导致“假充值”,用户没有损失USDTimToken官网下载安装,却成功向交易所充值USDT代币,这些USDT可以正常使用。

imToken官网下载安装_官网下载安装QQ_官网下载安装包怎么安装

由于 USDT 的价值不受市场波动影响,且与美元固定挂钩,因此交易所经常将其作为平台的基础货币(法定货币)。当加密货币市场预计会处于低点时,用户也可以将其他代币兑换成 USDT 进行对冲。

成都链安科技分析后发现,该漏洞是由于交易所可能未确认用户的USDT充值交易,导致用户“假充值”造成的,根本原因是在开发区块链Dapp时,对区块链接口开发了解不足,没有严格安全把控。

10. EOS假账户漏洞引发关注

如果EOS钱包开发者没有对节点确认进行严格判断,比如至少要判断15个确认节点才告诉用户账户已经创建成功,那么就有可能出现假账户攻击。

该漏洞具体攻击流程为:首先,用户使用某EOS钱包注册账号(举例),钱包提示注册成功,但由于判断不严,导致账号并未真正注册成功;其次,用户立即用此账号去某交易所提现;最后,如果此流程中任何一个环节存在恶意,则可能导致账号被再次注册,导致用户提现至不再属于自己的账号。

成都链安科技专注于区块链智能合约的安全,但安全无小事,无论是钱包、交易所的安全、区块链智能合约的安全、区块链平台接口使用安全还是平台本身的安全,都非常重要。成都链安科技的建议是:轮询节点,返回不可逆的区块信息然后提示成功。具体技术流程如下:

1. 您将获得

2.请求接口POST /v1//

3.如果返回参数小于等于ock,则不可逆

总结

无论在哪个领域,安全问题始终是人们关注的问题,在区块链领域,安全挑战则更大、更复杂。

数字货币及代币是目前区块链最重要的应用场景之一。

区块链已经成为利益快速流动的新兴领域,如果没有“区块链安全”来维护交易所、智能合约、数字钱包,区块链美好的数字世界生态图景将是空中楼阁,区块链安全革命尚未成功,我们仍需继续努力!



发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。