网赚论坛

 找回密码
 免费注册
查看: 437|回复: 0
打印 上一主题 下一主题

200个ETH是怎么在imToken上没的?

[复制链接]

17

主题

17

帖子

68

积分

Ⅰ级财主

Rank: 1

积分
68
跳转到指定楼层
楼主
发表于 2018-9-10 16:26:37 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
上个月7 月15 日,凌晨02:48,有人在朋友圈咨询钱包的问题,说存放在imToken钱包上的195.55ETH不翼而飞。

纪元链(EBK)纪总将上币费预留在imToken钱包中的,在7 月14 日晚上22:00,准备转账显示不成功,在15日凌晨1:00断网休息。在15日清晨准备再次转账的时候,发现钱包内的资产全数被转走。在7月21日,纪总也是通过种种渠道联系到了imToken孙峰孙总。

以下是聊天内容:




imToken整个过程表达:本次ETH被盗事件和imToken无关,皆因用户私钥被泄露,并且无法追回。如果需要追查,可以先发工单找人查询具体过程。

根据当事人提供消息:手机是安卓的系统,品牌是联想MoTO手机,买来专门存放ETH的,平时不联网,只有转币的时候才联网几分钟。事发后把手机送到北京的一家著名网络安全公司检查,没有发现手机里有木马或者其他安全问题。私钥是锁在保险柜中,泄漏的可能性很小。 怀疑是 imtoken钱包有安全漏洞。



这个图是反应在盗币之后ETH的流向,右上角是失主纪先生的地址,左下角三个是最终币的去向。(左上角这个是空投币地址,可以忽略掉。)

近年来以太坊被盗事件频发:
2017年7月19日,多重签名钱包Parity1.5及以上版本出现安全漏洞,15万个以太坊ETH被盗,共价值3000万美元。
2017年4月22日,韩国比特币交易平台yapizon成为了黑客攻击的最新受害者,该交易所的员工在社交媒体上发布通知,确认有3,831 BTC被盗,市场价约合500万美元。相当于该平台总资产的37.08%。用户将平摊所有损失
2016年8月4日全球最大的数字资产交易平台之一Bitfinex被盗了价值超过6000万美元的比特币。
2016年6月17日,区块链业界最大的众筹项目TheDAO(被攻击前 拥有1亿美元左右资产)遭到攻击,导致300多万以太币资产被分离出TheDAO 资产池。
2014年2月28日,曾经世界规模最大的比特币交易平台运营商宣布,其交易平台的85万个比特币已经被盗一空,包括用户交易账号中约75万个比特币,以及Mt.Gox自身账号中的约10万个比特币。根据2014年2月28日的交易行情,损失估计约4.67亿美元。直接导致Mt.Gox破产。

根据本次黑客攻击盗币事件,可能是以下几种情况:
1. 个人私钥泄露
根据当事人反馈,私钥记录在纸上并锁在家里保险箱中,这种可能应该能够排除。
2. 私钥被黑客破解
黑客通过大量的哈希碰撞,从理论上来讲是可行的,但由于数对非常多,这种可能性非常小。
3. 使用软件的过程中被注入木马
手机是安卓的系统,品牌是联想MoTO手机,买来专门存放ETH的,平时不联网,只有转币的时候才联网几分钟。事发后把手机送到北京的一家著名网络安全公司检查,没有发现手机里有木马或者其他安全问题。该选项也可以排除。
4. 软件本身存在漏洞imToken
imToken 是一款移动端轻钱包 App应用,2017年02月14日上架 ICO DApp ,发布Melonpor,但并未没有开源源代码,所以不排除软件本身存在漏洞。
5. 非官方渠道下载Imtoken泄露私钥
使用第三方提供的渠道下载 imToken
使用第三方提供的不可信的 Apple ID

由于区块链地址的匿名性等特征,资产被盗无从查起、无法追回,希望借由这件事情,唤起大家对自己的数字资产的重视。
教你如何更好保护好自己的数字货币:
1、不轻易安装APP应用程序
下载钱包时,请认准对应钱包的官网地址,不要安装来历不明的钱包应用。
2、白纸黑字记下助记词
密码(及助记词)最好记录在心里,如果记不住就写下来,切勿截屏助记词保存在相册或连接网络传输或保存私钥(Keystore、助记词),使用 QQ、微信等即时通讯软件传输私钥,千万不要随便泄露给别人。
3、设置复杂的密码、备份好自己的钱包
4、分批存放不同的钱包
大多数加密货币钱包是去中心化钱包,一旦发生意外,用户资产丢失后难以追回,倘若手里持有大量数字货币,分批存放不同的钱包更稳、更安全。量大的数字资产考虑用冷钱包保存。
5、谨慎钓鱼软件中招
谨慎下载论坛、社群里的文件,不要点击来路不明的链接防止钓鱼软件中招,并且反复核对访问的域名网址是否是山寨网站。
6、反复确认转币对象和地址
交易是不可逆的,一旦打过去就是别人的了,所以在转账时要反复确认转币对象和地址。
7、防止手机中病毒、木马
身在区块链领域中难免要下载一些程序等,建议存储区块链资产的手机要与平时上网用的手机分开,以免被病毒、木马程序盗取密码和资产。
8、不要贪图小便宜
还要注意一些空投糖果的注册链接要核实无误后才点击注册,以免因小失大;量少的数字资产还是尽量存放在币一这样靠谱的交易所内,说不定还能收到糖果的意外惊喜呢。
9、交易所应对 USDT 充提漏洞更重视
2018年6月28日,有安全公司突然发表言论:提醒各大交易所尽快暂停 USDT 充值功能,并自查代码是否存在逻辑缺陷。
10、EOS 假账号漏洞引起重视
如果 EOS 钱包开发者没对节点确认进行严格判断,比如应该至少判断 15 个确认节点才能告诉用户账号创建成功,那么就可能出现假账号攻击。

不管在哪个领域,涉及安全性问题一直都是人们比较关注的。在区块链领域,安全挑战就更大、情况更为复杂。数字货币及token是目前区块链最主要的应用场景之一。区块链已成为利益高速流通的新兴领域,如果没有“区块链安全”为交易所、智能合约、数字钱包做好维护的话,区块链美好的数字世界生态图景都将是空中楼阁,区块链安全的革命尚未成功,我们还需继续努力!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 免费注册

本版积分规则

广告合作|Archiver|手机版|小黑屋|财富吧

GMT+8, 2024-11-17 09:27 , Processed in 0.358800 second(s), 35 queries , Gzip On.

Powered by Discuz! X3.1

© 2014-2021 财富吧

快速回复 返回顶部 返回列表