TOKEN:imToken 钱包安全月报 1 期：虚假网站猖獗，套路升级_PKG Token

虚假网站，如何判断？

2021年5月29日，imToken用户支持团队接到一名珠海用户的举报，称钱包内价值超过500,000USDT的资产被盗。安全团队了解情况后得知，受害用户是通过某度搜索，进入了虚假imToken网站，从而下载了假的钱包App，导致资产被盗。

顺着该线索，imToken安全团队发现子在某度上购买了「搜索关键词」及广告位，用户无论搜索imToken，麦子或者是TokenPocket，甚至搜索MetaMask，搜索结果显示排名第一至和第三的都是子网站(如图1)，用户在这些网站上，会下载到假的钱包应用。

某度搜索结果图1

面对这样的局，imToken安全团队一方面联系某度公司，下架子广告，另一方面也主动联系，在尝试封禁这些网站的同时，也在不断搜罗收集证据，从而帮助对这些不法分子实施抓捕。截至发稿日，虽然子广告已经下架，可部分钱包虚假网站仍在，希望广大用户提高警惕，认准你所下载的钱包官网。

imToken 2.11.正式支持 WalletConnect 2.0:3月12日消息，加密货币钱包imToken更新至2.11.3版本，该版本的更新包括支持WalletConnect 2.0；升级以太坊钱包风控系统，自动屏蔽有风险的数字资产；优化RPC节点延时显示，支持节点异常提示；消息中心功能优化，通知列表增加公链网络标识。[2023/3/12 12:57:56]

关于用户对官网辨识度的调查图2?

在做好安全防范的同时，安全团队也在试图分析该类局。其实数字钱包或交易所假网站，是非常难以防范的，它在用户了解数字资产的整个生命周期伊始，就构建了一个圈套。因为一般用户刚接触这个行业是处于非常「懵」的状态，本身区块链的认知门槛就比较高，在财富效应的催生下，部分用户更是急于跨过认知期，直接进行数字资产购买。而对于新进行业用户，钱包服务商、交易所、安全机构等之前所做的安全宣传和用户教育是触达不到的。所以子利用这种「信息差」，对新进行业用户形成了「吊打」的局面。

imToken钱包负责人阿树：哪个Rollup会胜出要看市场和用户选择:金色财经现场报道，由金色财经主办的“2021共为·创新大会”4月11日在上海举行，本次大会以“DeFi的创新进阶”为主题。imToken钱包负责人阿树在“探路：2021ETH 2.0的星辰大海”圆桌上表示，zk-Rollep没有通用合约支持能力，zkSync目前主要是支付、转账功能，其最新路线图是在5月份发布通用合约支持能力，8月份主网上线。 乐观Rollup提款周期时间长。哪个Rollup会胜出要看市场和用户选择。Layer2发展的一个重点是交易所支持，但他们有智能链，是一个矛盾的地方。[2021/4/11 20:07:28]

不过作为钱包用户，也不用「杯弓蛇影」，这里有几个小技巧可以帮助防止此类局：

imToken新版本支持自定义网络，支持以太坊兼容和二层网络:去中心化钱包imToken发布最新版本2.8.4，已支持自定义节点功能和EIP3085，其中，自定义节点功能可使用户直接使用各种以太坊兼容网络，包括xDai侧链、Arbitrum、Optimism等Layer2生态网络以及币安智能链（BSC）、火币生态链（Heco）。

EIP3085是一种方便用户向imToken等钱包应用设置自定义节点的方法，方便用户使用各种以太坊兼容网络。[2021/3/24 19:12:51]

将常用网站添加到浏览器收藏夹内；多渠道了解比对项目信息：在了解一个项目的时候，可以先在公众号、微博或Twitter等搜索信息，子维护多渠道的成本会比做一个假网站高很多。而这些渠道基本都会有真正的官网链接；请教身边可信的人：在了解钱包的时候，一定要找对行业有基础认知，且现实生活中熟悉的人，最好当面请教。不要在微信群或者Telegram等即时通讯应用里询问，很容易上当受；虚假网站一般是非常粗糙的，比如多语言环境，虚假网站一般都不支持多语言，即便支持也是机翻直译，无法做到官网的细腻；把上述方法或你认为有效的防知识，告诉身边的朋友，构建「群体免疫」。术横生，防不胜防

imToken将支持EOS钱包和超级节点投票:以太坊钱包imToken正式宣布将支持 EOS 钱包和EOS超级节点投票，加入EOS生态建设。根据imToken的公告，imToken 会优先实现单私钥模式，在 EOS 主网启动之前，用户须通过 EOS 映射 DApp 完成映射操作，导入已映射 EOS 钱包私钥来生成 EOS 账户，参与超级节点投票。用户只要备份已映射过的 EOS 钱包私钥，无需额外的备份，钱包操作与以太坊钱包保持一致。EOS 主网启动后， imToken 也会支持双私钥模式以及更细致的角色控制。为了帮助用户选择靠谱的超级节点，imToken 将会上线 EOS 超级节点功能，在钱包内即可完成投票。[2018/5/24]

除了上述详细谈到的虚假网站局外，最近还有几种升级版局在危害钱包用户：

imtoken转ETH撸币术揭秘:近日，微信群充斥着“转0个ETH到xxxxx地址可获取xx枚xx币”的信息，单看此条并无问题，用户确实可接收到几百几千不等的代币（其价值暂且不论）。子一般是将几条这样的消息组合一并发送。通过前几条转0个ETH 的真实无害消息让用户收到币后放松警惕，通过中间或者后续几条，“转0.01 或0. 1 个ETH至xx地址获取xx枚xx 币”行。当用户转币后，要么收不到币，要么收到一些永远不会上交易所的垃圾币。请大家保护好自己的筹码，不要因为贪小便宜，因小失大。[2018/2/26]

1.钓鱼二维码局该局主要手法为，假设用户钱包内原有1000个USDT，子通过活动诱导用户扫码转账1个USDT，但后来发现剩余的999个USDT在没有经过同意的情况下，就被转走了。如果你想学习如何避免该类局，可以阅读《安全提醒丨请警惕钓鱼二维码局》。2.空投诱饵局该局目前主要滋生在波场链上，以OZBT假空投为例，其主要表现形式为，用户在钱包里收到空投代币的同时也会收到其代币信息，信息会告知你获得的OZBT空投可以在其去中心化交易所中兑换价值不菲的TRX代币。当你前往他们的交易所，尝试进行兑换的时候，会发现进行的是TRX的转账，也就是扣款转账。该局主要利用用户收到空投后，想尝试无损兑换，但却忽略了转账详细信息，从而将钱包里有价值的代币转给子。这有点像传统戏法里的障眼法。

子会利用空投做诱饵让用户授权钱包图3

3.真假去中心化钱包局如果说虚假网站是诱导你下载假钱包，那么有些钱包则「放长线钓大鱼」，把自己伪装成去中心化钱包，利用其钱包发行代币的增值作为诱饵，诱导用户在钱包里创建或导入私钥，同时将用户私钥上传到服务器中。比较典型的子项目是LCS和MGC等。如果你想更多了解该类局，可以阅读《警惕丨LCS钱包用户请注意》。

魔道斗法，一直在行动

据imToken用户支持团队不完全统计，2021年1月至6月，imToken接到等举报430起，相较于2020年上半年增长了35%。根据imToken安全团队提供的数据，今年五月份，imToken共标记风险代币6枚，封禁风险DApp网站54个，标记风险地址4个。同时为了应对高风险DApp局，imToken紧急发布2.9.2版本，升级DApp浏览器风控系统，可以阅读《imToken2.9.2，DApp浏览器安全风控再升级》了解详情。

虽然市场逐渐回归到冷静期，但余温仍在，最近也有不少热点可以去「追」。但imToken团队还是一致认为应该把注意力放在安全这件事上，我们的运营小伙伴也按捺住一颗推广业务的心，精心准备了「钱包安全周」活动，通过答题，直播，社区话题讨论等形式，让更多的用户参与其中，了解最新局，避免更多人受灾。点击了解详情，希望你可以分享安全周活动，关心身边人。

最后，题外话，为什么要做「钱包安全月报」？

前文有提到，有些局在用户刚进入这个行业的时候就产生了，还来不及找到「组织」，就被「拐走」了。任何一个项目的渠道都是有限的，能触达的生命周期是从用户「登陆」之后，这给局防范带来了很大挑战。许多刚刚接触区块链的用户，因为局而丧失了信心，这对整个行业也是巨大的打击。所以我们希望可以持续做一件事，滴水穿石，用时间和坚持抹平宣传渠道的局限性。

imToken有上千万的下载量，在这背后是庞大而真实的钱包用户故事，我们身处一线，可以快速捕捉这类问题，一方面通过自身经验帮助用户解决，另一方面针对新型局，也可以反馈给社区，避免更多的用户受灾。无论你是哪款钱包的用户，都可以从我们的月报中有所收获。

所以，希望你在关注「imToken钱包安全月报」的同时，也把这份月报带给身边的人，带给同处于区块链圈子里的朋友。在钱包安全面前，没有「大佬」，只有失去之后的追悔莫及。

如果你有任何关于钱包安全方面的案件和素材，欢迎发送到，也可以登录https://imtoken.fans安全专题和我们一起构建钱包安全社区。

相关资料：

波场上的代币

imToken5月风控数据

标签：TOKENKENTOKTOKEPKG TokenREG TokenBSS TokenHalving Token

非小号热门资讯