区块链三加一：imToken 上的 200 个 ETH 是怎么消失的？

imToken 是一款全球领先的区块链数字资产管理工具[ZB]，帮助你安全管理BTC, ETH, ATOM, EOS, TRX, CKB, BCH, LTC, DOT, KSM, FIL, XTZ 资产，同时支持去中心化币币兑换功能 ...

7月15日凌晨02:48，用户钱包中的195.55ETH消失。

EBK的季先生在自己的钱包里预留了上币费，7月14日22点尝试转账失败，7月15日凌晨1点断网，7月15日凌晨再次尝试转账时，发现钱包里的资产全部被转走了。7月21日，季先生也通过各种渠道联系到了孙峰先生。

以下是聊天内容：

整个过程表述如下：此次ETH被盗事件与案件无关，都是因为用户私钥泄露，无法恢复。如需追查，可以先发工单找人询问具体流程。

根据涉事方提供的信息：该手机为安卓系统，品牌为联想MoTO手机，专门为了存放ETH而购买，平时不联网，仅在转币时联网几分钟。事发后，该手机被送至北京某知名网络安全公司检测，未发现手机中存在木马等安全问题。私钥被锁在保险柜中，泄露的可能性极小。怀疑钱包存在安全漏洞。

这张图反映的是被盗之后 ETH 的流向，右上角是主人季先生的地址，左下角三个是币的最终去向。（左上角的是空投币地址，可以忽略）

近年来，以太坊盗窃事件频发：

2017年7月19日，.5以上多重签名钱包出现安全漏洞，15万个以太坊ETH被盗，总价值达3000万美元。

2017年4月22日imToken钱包官方下载地址，韩国一家比特币交易所成为黑客攻击的最新受害者。该交易所员工在社交媒体上发布公告，确认有3831个BTC被盗，市值约500万美元。这相当于该平台总资产的37.08%。所有损失将由用户平均分担。

2016年8月4日，全球最大的数字资产交易平台之一被盗，价值超过6000万美元的比特币。

2016年6月17日，区块链行业最大的众筹项目（攻击前资产规模约1亿美元）遭遇攻击，导致300多万以太坊资产从资产池中分离出来。

2014年2月28日，全球最大比特币交易平台运营商Mt.Gox宣布其交易平台上的85万枚比特币全部被盗，包括用户交易账户中的约75万枚比特币，以及Mt.Gox自身账户中的约10万枚比特币。根据2014年2月28日交易市场行情，损失预估约为4.67亿美元，这直接导致了Mt.Gox的破产。

区块链三加一基于此次黑客攻击盗币事件，可能有以下几种情况：

1. 个人私钥泄露

据相关人士反馈，私钥是记录在纸上并锁在家里的保险箱里的imToken钱包下载，所以这种可能性应该可以排除。

2. 私钥被黑客破解

理论上，黑客可以制造大量的哈希碰撞，但是由于数字对的数量非常多，因此这种可能性非常小。

3. 使用过程中软件被注入木马

手机是安卓系统，品牌是联想MoTO，专门用来存ETH买的，平时不联网，只有转币的时候联网几分钟。事发后手机被送到北京某知名网络安全公司检测，没有发现手机中木马等安全问题。这个选项也可以排除。

4.软件本身存在漏洞

它是一款手机轻钱包App应用，于2017年2月14日在ICO DApp上线并发布，但是没有开源代码，所以不排除软件本身存在漏洞。

5. 从非官方渠道下载泄露的私钥

通过第三方渠道下载

使用第三方提供的不受信任的 Apple ID

由于区块链地址的匿名性等特性，被盗资产无法追踪、无法追回，希望此次事件能够引起大家对自身数字资产的重视。

接下来区块链三加一教你如何更好地保护你的数字货币：

1. 不要轻易安装应用程序

下载钱包时请认准相应钱包的官网地址，不要安装来源不明的钱包应用。

2. 用黑笔白字写下助记词

密码（及助记词）最好记在心里，想不起来就记下来。切勿将助记词截图保存在相册或连接网络传输或保存私钥（助记词）。使用QQ、微信等即时通讯软件传输私钥，切勿随便泄露给他人。

3. 设置复杂的密码

4. 备份你的钱包

5. 批量存放在不同的钱包中

大部分加密货币钱包都是去中心化钱包，一旦发生意外，用户资产丢失后很难追回。如果持有大量数字货币，分批存放在不同的钱包中更为稳定安全。考虑使用冷钱包来存储大量数字资产。

6. 小心网络钓鱼软件

在论坛、社区下载文件时要谨慎，不要点击来历不明的链接，以免被钓鱼软件欺骗，反复检查访问的域名是否为虚假网站。

6.反复确认转账对象及地址

交易不可逆，一旦转账，钱就成了别人的钱，所以转账时一定要反复确认转账对象和地址。

7. 防止病毒和木马进入你的手机

身处区块链领域，难免要下载一些程序等，建议存储区块链资产的手机与正常上网的手机分开，避免病毒、木马程序窃取密码和资产。

8. 不要贪图小利

另外还请注意，有些空投糖果请先核实注册链接后再点击注册，以免因小失大；小额数字资产最好存放在等靠谱的交易所，说不定还能收到糖果等意想不到的惊喜。

9. 交易所应加强对USDT充提漏洞的关注

2018年6月28日，某安全公司突然发表声明：提醒各大交易所尽快暂停USDT充值功能，并检查代码是否存在逻辑缺陷。

安全公司通报称，交易所在检查USDT充值交易是否成功时存在逻辑缺陷，没有验证区块链上交易明细中的valid字段是否真实，导致“假充值”，用户没有损失USDT，却成功向交易所充值USDT代币，这些USDT可以正常使用。

由于 USDT 的价值不受市场波动影响，且与美元固定挂钩，因此交易所经常将其作为平台的基础货币（法定货币）。当加密货币市场预计会处于低点时，用户也可以将其他代币兑换成 USDT 进行对冲。

成都链安科技分析后发现，该漏洞是由于交易所可能未确认用户的USDT充值交易，导致用户“假充值”造成的，根本原因是在开发区块链Dapp时，对区块链接口开发了解不够，没有严格安全把控。

10. EOS假账户漏洞引发关注

如果EOS钱包开发者没有对节点确认进行严格判断，比如至少要判断15个确认节点才告诉用户账户已经创建成功，那么就有可能出现假账户攻击。

该漏洞具体攻击流程为：首先，用户使用某EOS钱包注册账号（举例），钱包提示注册成功，但由于判断不严，导致账号并未真正注册成功；其次，用户立即用此账号去某交易所提现；最后，如果此流程中任何一个环节存在恶意，则可能导致账号被再次注册，导致用户提现至不再属于自己的账号。

成都链安科技专注于区块链智能合约的安全，但安全无小事，无论是钱包、交易所的安全、区块链智能合约的安全、区块链平台接口使用安全还是平台本身的安全，都非常重要。成都链安科技的建议是：轮询节点，返回不可逆的区块信息然后提示成功。具体技术流程如下：

1. 您将获得

2.请求接口POST /v1//

3.如果返回参数小于等于ock，则不可逆

无论在哪个领域，安全问题一直是人们关注的问题。在区块链领域，安全挑战更大，情况更复杂。数字货币和代币是目前区块链的主要应用场景之一。区块链已经成为利益高速流通的新兴领域。如果没有“区块链安全”来维护交易所、智能合约、数字钱包，区块链美好的数字世界生态图景将是空中楼阁。区块链安全革命尚未成功，我们还需要继续努力！