KEN:imToken 钱包安全月报 2 期：「专业」的子防不胜防

假冒交易所客服

这是我的真实案例。不得不承认，在接到电话的前几分钟，我相信了子的说辞。

一天中午，我收到一个来自香港的电话，对方自称是国内某知名交易所员工，并问我是不是xxx先生，然后告知我的账户存在风险，涉嫌黑钱交易，资金已被冻结。

当时国内监管政策正在不断收紧，金融维稳行动广泛而深入。我下意识以为自己的交易真的和黑钱产生了关联。于是和对方确认了资金冻结情况等细节，并且对方准确提到了我的交易信息。

出于再次确认的考虑，我挂断了电话，打开交易所App查看账户资金状态，然后在App内再次联系交易所客服，才从真官方那里得知之前打来电话的是子。

当然，我相信即使未通过交易所App联系官方确认，作为从业者，我也可以在子的后续套路中识别出一些破绽而避免自己上当受。

imToken前投资负责人Queenie Wu加入IOSG Ventures，成为其合伙人:7月29日消息，imToken前投资负责人Queenie Wu加入IOSG Ventures，成为其合伙人，Queenie曾任职于imToken（最早的非托管钱包之一，拥有1500多万的用户量），是其唯一的投资员工。她主导投资超过30个项目，涵盖L1/L2、中间件、数据分析和Defi等领域，成为了Polkadot、Blockfolio、MatterLabs(zkSync)、Aztec、Aurora、Starkware、LayerZero、Nansen、Gelato、Defi Alliance等项目的早期投资方。

Queenie表示希望与IOSG一起携手通过系统性的行业研究、资源网络和项目运营经验等为加密行业的创业者们提供更全面的帮助。

IOSG Ventures于2017年正式成立。迄今为止，已投资八十多个项目，涵盖L1/L2、中间件、DeFi和Gaming等板块。此外，IOSG笔耕不暇，撰写了270余篇文章，累计阅读量达百万次；其Kickstarter Grant项目触及了全球超过400个早期团队；主办或联合主办了50余次黑客松和见面会；还有每年都会举办的IOSG Old Friends Reunion（老友记），为行业从业者提供了亚洲最好的分享与交流的舞台。[2022/7/29 2:46:15]

但这对于普通用户呢？面对「专业化」的子，真的很难。

imToken CEO 何斌：Defi走向主流化仍面临非常大的挑战:金色财经报道，10月26日，《万物生长，代码奔腾》大会在上海召开。imToken CEO何斌现场发言指出：Defi走向主流化仍面临非常大的挑战。

挑战一是私钥，让用户消化理解私钥的原理和作用是非常难的一件事，客户不能理解私钥的原理和作用就很难保管好私钥；

挑战二是矿工费，矿工费的持续上涨，对于用户来说是很大的负担，这个问题也是因为网络吞吐量导致的；

挑战三是整体Defi带来的复杂性问题，Defi主要是通过智能合约在链上实现金融工程，智能合约有强大的优势，但整体协议也容易带来系统性的风险，因为往往最弱的协议可能决定了整体的安全等级。[2020/10/26]

截至到7月15日，imToken安全团队收到的此类共122起，累计被金额近100wUSDT。从和受者的沟通中，我们了解了子的后续套路：

AAX交易所平台币AAB上线imToken钱包:据官方消息，AAX交易所平台币AAB于9月24日正式上线区块链数字资产钱包imToken钱包。用户可以登陆imToken钱包发送、接收、存储AAB资产，并可以通过imToken钱包连接硬件钱包实现AAB的离线存储。imToken 是一款区块链数字资产管理工具，为全球超过200个国家和地区的千万用户提供安全、可信赖的数字资产管理服务。AAX是伦敦证券交易所集团(LSEG)技术驱动的数字资产交易平台，AAB是AAX交易所的平台通证，AAX平台合约收入将100%用于每日销毁AAB。[2020/9/24]

在联系受者并且通过提供真实身份/交易信息取得信任后，子会告知你的订单涉嫌黑钱交易，需要进行资金核验才能洗脱嫌疑，否则所有资金和账户都会被冻结，因此需要配合官方人员进行资金核验。

imToken宣布上线EOS钱包和EOS超级节点投票:imToken 今日宣布正式上线 EOS 钱包和 EOS 超级节点投票。今日起用户可下载 imToken 2.0 RC 国际版导入 EOS 钱包，即可为超级节点投票。imToken此次支持 EOS 钱包和超级节点投票，是多链数字资产生态领域的又一次重大突破。[2018/6/12]

资金核验流程：

下载瞩目、小鱼易连等视频软件，与假客服共享手机屏幕，下载imToken并将交易所所有数字资产换成USDT并提至imToken；接着假客服告知查到了到账记录，需要再转一笔USDT进行验证。系统开始验证，进度达到了XX%，需要充值人民币至指定银行账户才能完成最终核验；由于共享了手机屏幕，你从下载imToken钱包到备份助记词的过程中，每一步都被子记录了，获取到你的助记词后，他会再诱导你将资产转入钱包。你以为子到这就收网了？还没有，子除了币，还想要你的钱。币转入钱包后，子会以系统卡机或验资进度没达到100%为理由，让你再转一笔现金。如果你告知对方没钱，子还会指导你通过支付宝借呗或微信微粒贷借钱。等确定拿到你身上所有的币、钱后再挂断电话，失联。imToken安全团队分析了此类局，认为这类局在近期高发主要有以下原因：

子通过不正当渠道拿到了交易所用户的真实账户信息，让用户信以为真；九成受者只接触过交易所，而从未使用过其他区块链服务，如imToken等区块链钱包。子广泛撒网，精准行，一旦遇到有区块链钱包基本安全常识的用户即略过；子「专业化」，局套路对特定对象「量身定制」，清楚了解用户的安全知识盲点；利用当下的行业监管政策收紧和交易所业务调整的大环境。到这里，如何避免此类局的方法也清晰了：

遇到声称来自交易所或imToken钱包的客服时，请通过官网或App内的联系方式向官方求证。不要将钱包助记词、私钥告知任何人！任何诱导你露出这些信息的人都是子！学习区块链钱包的基础安全知识。多种局套路

除假冒交易所客服局外，以下局也不得不防：

案例详解｜假二维码案例详解｜假钱包&假网站案例详解｜假币案例详解｜资金盘案例详解｜搬砖套利如果受，怎么办

6月份，imToken邀请了浙江省厅刑侦总队做客直播活动，其中聊到了「数字资产被盗时，如何处理」：

对于所有案件、盗窃案件，我们都建议受害人第一时间向报案。受害人尽早报案，可以让有更多时间展开工作。另外，在报案前，我们建议受害人准备尽可能详细的信息，比如案件，受害人最好能提供相关平台信息或应用信息、资金流向、聊天记录等等。受害者提供越多信息，对于来说，在后续案件的侦办过程中，就有越多可以查询分析的渠道。

直播内容回顾?省厅刑侦总队：数字资产被盗时，如何立案

一直在行动

前段时间，波场链上出现空投代币局。子通过空投OZBT、AAMT、FIL等代币至用户地址，代币信息中包含「空投币兑换等量TRX」等虚假内容。当你点击兑换输入密码时，子实际获取的是你钱包中USDT、TRX等代币的转账权，钱包中的代币就会被转入子地址中，导致资产损失。

针对上期安全月报中提到的空投代币局，imToken在最新版中全面升级了波场风控安全系统。对于被用户举报或由imToken安全团队发现的风险代币、风险DApp和风险地址都会及时进行风险警示。

根据imToken安全团队提供的数据，六月份，imToken共标记风险代币36个；封禁风险DApp网站202个；标记风险地址4754个，其中部分风险地址来自业内知名安全公司慢雾。

详细风控数据见：https://shimo.im/docs/Se9Ae9A99pIUGBk1

如果你发现了疑似风险的代币或DApp，请及时反馈给我们：，帮助更多用户避免资产损失。

最后

对于上述新型局和常见局，imToken仍在思考如何从产品和用户教育层面尽可能帮助用户建立良好的安全意识，阻断分子的行路径。

但不可否认，当下局手法越来越隐蔽和「专业」，而有些潜在受者往往不在意这样的安全内容。越来越「专业」的子和放松警惕的用户间形成了越来越大的认知差异。

而愿意学习安全内容的人往往是最不会受的人，如果你觉得这篇文章有用的话，欢迎分享给更多人。区块链追求共识，在安全这件事情上，我们每个人都是节点，口口相传安全共识。

标签：KENimtokenTOKTOKE下载imtoken钱包假imtoken提走了我的币Earthcrypt TokenESCB token

BNB热门资讯