TOK:imToken 钱包安全月报 8 期：我的密码没有泄漏，为什么资产被盗走了？_KEN

10月初，子在各种搜索引擎购买广告位和竞价排名，引导用户访问假网站并下载假钱包，导致用户的资产被盗。其中有一些不清楚资产被盗原因的用户便向imToken咨询：我的密码没有泄漏，为什么资产被盗走了？

密码与数字资产安全之间的关系是很多刚接触去中心化钱包用户的常见问题，新手用户误以为只要密码没有泄漏，资产就是安全的，其实对于数字资产的安全保管，助记词才是关键，一旦助记词泄漏，无论他人是否知晓你的密码，都可以盗走你的资产。

助记词，密码和数字资产三者之间的关系，我们用一个例子来说明。

当我们创建了一个去中心化钱包时，就像是创建了一家由你掌控的银行。助记词/私钥就是打开银行中金库的钥匙。这把钥匙至关重要，需要存放在安全的地方，例如放在保险箱里。而打开保险箱的密码就是我们在创建钱包时设定的密码。

imToken发布2.5.8版，新增支持WalletConnect标准:7月6日消息，imToken发布2.5.8版，新增支持WalletConnect标准，用户不仅可以实现移动端DApp与imToken的交互，还能使用imToken扫码授权任何支持该标准的桌面端DApp，且无需担心资产安全问题；此外新版还支持Tokenlon授权优化，支持无需ETH就能进行代币授权和交易，解决了没有ETH作为矿工费的问题，对新用户更为友好。[2020/7/6]

当我们在用去中心化钱包进行转账时，就像是进银行打开金库取款。我们需要用密码解锁保险箱取得助记词/私钥，然后用它开启银行金库。

声音 | imToken商业运营负责人：以太坊在设计之初就决定采用PoS共识:7月23日消息，imToken商业运营负责人Mako表示，以太坊在设计之初就决定采用PoS共识，但由于当时PoS共识并不成熟，以太坊前期采用成熟的PoW挖矿，之后转到PoS。为此，以太坊设定了4个阶段：前沿、家园、大都会、宁静，目前我们处于大都会阶段，宁静也就是我们今天谈论的以太坊2.0。以太坊2.0的阶段1，也称为零阶段（开发人员喜欢从零开始计数）信标链，引入共识层，目前有8个团队正在独立的实施第一阶段，信标链将是一条全新的 PoS 区块链，用户可以使用钱包参与 Staking 挖矿获得收益。阶段2：分片，引入数据层，这一阶段只是分片结构的试运行，而不是尝试使用分片来扩展以太坊。阶段3：eWASM 虚拟机，引入执行层，这一阶段将会变成我们熟悉的以太坊。这个阶段是以太坊 2.0 各个重要功能汇聚，分片链升级，允许钱包转账，执行合约。阶段4：按照V神的说法，阶段4将是对这台新世界计算机的调整和优化。[2019/7/23]

看到这里，你是否可以Get到：去中心化钱包中资产安全的关键是助记词/私钥这把钥匙。在区块链上，助记词代表着资产所有权。一旦他人获取了你的助记词，无论是否知晓你的密码，都能盗走你的资产。

imToken iOS体验版无法正常使用问题已经修复:今天上午，部分下载iOS体验版的用户出现无法使用钱包的现象，imToken发布公告称，用户下载最新版本的imToken便可以解决此问题，不过由于证书的不同，所以会在手机存在两个imToken应用，用户需通过助记词或Keystore重新导入钱包。[2018/3/22]

下载了假钱包的用户资产之所以会被盗，是因为假钱包会暗中上传用户的助记词/私钥等信息给子。而真钱包是不会保存用户这些信息的，钱包的助记词/私钥只有用户自己知道。所以下载正版imToken非常重要！

如果你还不知道怎么正确下载imToken，点击了解：

如何辨别imToken真假官网？如何安全下载imToken？imToken一直在行动

授权安全再升级

授权一直是案件里的一个典型，且子往往会使用个人地址诱导用户进行授权，盗取用户资产。针对此类局，imToken再次升级了对操作授权风险的提醒，将授权的地址提前解析，区分个人地址以及合约地址。如果你对个人地址进行授权，imToken就会进行风险提示弹窗，强烈建议用户取消授权，为用户的资产提供更加全面的保护。

推荐使用地址本转账

近期相同尾号地址局猖獗，除了转账之前仔细核对收款地址之外，imToken推荐你使用地址本功能，将一些常用的地址进行保存，防止转账时转错地址。

如何使用地址本转账

设置地址本

打开imToken钱包，并依次点击「我」-「地址本」找到地址本功能，点击右上角「」即可添加12条公链的地址。

注：设置后，请检查地址准备无误后再使用。

使用地址本转账

这里以在TRX钱包转账USDT为例。选择USDT代币并点击「转账」进入转账页面，点击右侧的图标进入地址本选择地址，输入转账金额并确认转账信息后，点击「下一步」输入密码即可转账。

安全警示｜假官网

近期，子在搜索引擎购买广告位和竞价排名，引导用户访问虚假网站并下载假钱包，从而盗取用户的资产。

imToken团队在此提醒大家：下载/更新imToken时，请务必认准imToken的唯一官网：https://token.im。另外，你也可以发送标题为「下载」的邮件至官方邮箱获取最新版imToken。

安全风控

十月份，imToken共标记风险代币22个；封禁风险DApp网站393个；标记风险地址756个。

详见风控数据

另外，如果你发现了疑似风险的代币或者DApp，请及时反馈给我们：，帮助更多用户避免资产损失。

最后

最近市场动荡，越来越多人选择使用去中心化钱包。对于涌入的新人来说，安全意识必不可少！如果你或者你身边的人想了解更多安全知识，可以在imToken钱包内的「我」-「钱包指南」学习。

?

标签：TOKKENTOKETOKENMyTokenkraken提款流程AIDUS TokenNeutrino System Base Token

DOT热门资讯