区块链三加一:200个ETH在imToken上怎么没的?

“7月15日,凌晨02:48,用户存放在imToken钱包上的195.55ETH不翼而飞。

纪元链(EBK)纪总将上币费预留在imToken钱包中的,在7 月14 日晚上22:00,准备转账显示不成功,在15日凌晨1:00断网休息。在15日清晨准备再次转账的时候,发现钱包内的资产全数被转走。在7月21日,纪总也是通过种种渠道联系到了imToken孙峰孙总。

以下是聊天内容:

区块链三加一:200个ETH在imToken上怎么没的?_第1张图片

区块链三加一:200个ETH在imToken上怎么没的?_第2张图片

imToken整个过程表达:本次ETH被盗事件和imToken无关,皆因用户私钥被泄露,并且无法追回。如果需要追查,可以先发工单找人查询具体过程。


根据当事人提供消息:手机是安卓的系统,品牌是联想MoTO手机,买来专门存放ETH的,平时不联网,只有转币的时候才联网几分钟。事发后把手机送到北京的一家著名网络安全公司检查,没有发现手机里有木马或者其他安全问题。私钥是锁在保险柜中,泄漏的可能性很小。怀疑是 imtoken钱包有安全漏洞。



这个图是反应在盗币之后ETH的流向,右上角是失主纪先生的地址,左下角三个是最终币的去向。(左上角这个是空投币地址,可以忽略掉。)

区块链三加一:200个ETH在imToken上怎么没的?_第3张图片


近年来以太坊被盗事件频发:

  1. 2017年7月19日,多重签名钱包Parity1.5及以上版本出现安全漏洞,15万个以太坊ETH被盗,共价值3000万美元。

  2. 2017年4月22日,韩国比特币交易平台yapizon成为了黑客攻击的最新受害者,该交易所的员工在社交媒体上发布通知,确认有3,831 BTC被盗,市场价约合500万美元。相当于该平台总资产的37.08%。用户将平摊所有损失。

  3. 2016年8月4日全球最大的数字资产交易平台之一Bitfinex被盗了价值超过6000万美元的比特币。

  4. 2016年6月17日,区块链业界最大的众筹项目TheDAO(被攻击前 拥有1亿美元左右资产)遭到攻击,导致300多万以太币资产被分离出TheDAO 资产池。

  5. 2014年2月28日,曾经世界规模最大的比特币交易平台运营商宣布,其交易平台的85万个比特币已经被盗一空,包括用户交易账号中约75万个比特币,以及Mt.Gox自身账号中的约10万个比特币。根据2014年2月28日的交易行情,损失估计约4.67亿美元。直接导致Mt.Gox破产。


▼本次黑客攻击盗币事件,有以下几种情况▼

1、个人私钥泄露

根据当事人反馈,私钥记录在纸上并锁在家里保险箱中,这种可能应该能够排除。


2、私钥被黑客破解

黑客通过大量的哈希碰撞,从理论上来讲是可行的,但由于数对非常多,这种可能性非常小。


3、使用软件的过程中被注入木马

手机是安卓的系统,品牌是联想MoTO手机,买来专门存放ETH的,平时不联网,只有转币的时候才联网几分钟。事发后把手机送到北京的一家著名网络安全公司检查,没有发现手机里有木马或者其他安全问题。该选项也可以排除。


4、软件本身存在漏洞imToken

imToken是一款移动端轻钱包App应用,2017年02月14日上架 ICO DApp ,发布Melonpor,但并未没有开源源代码,所以不排除软件本身存在漏洞。


5、非官方渠道下载Imtoken泄露私钥

使用第三方提供的渠道下载 imToken

使用第三方提供的不可信的 Apple ID

由于区块链地址的匿名性等特征,资产被盗无从查起、无法追回,希望借由这件事情,唤起大家对自己的数字资产的重视。


▼教你如何更好保护好自己的数字货币▼


1、不轻易安装APP应用程序

下载钱包时,请认准对应钱包的官网地址,不要安装来历不明的钱包应用。



2、白纸黑字记下助记词

密码(及助记词)最好记录在心里,如果记不住就写下来,切勿截屏助记词保存在相册或连接网络传输或保存私钥(Keystore、助记词),使用 QQ、微信等即时通讯软件传输私钥,千万不要随便泄露给别人。


3、设置复杂的密码、备份好自己的钱包


4、分批存放不同的钱包

大多数加密货币钱包是去中心化钱包,一旦发生意外,用户资产丢失后难以追回,倘若手里持有大量数字货币,分批存放不同的钱包更稳、更安全。量大的数字资产考虑用冷钱包保存。



5、谨慎钓鱼软件中招

谨慎下载论坛、社群里的文件,不要点击来路不明的链接防止钓鱼软件中招,并且反复核对访问的域名网址是否是山寨网站。



6、反复确认转币对象和地址

交易是不可逆的,一旦打过去就是别人的了,所以在转账时要反复确认转币对象和地址。



7、防止手机中病毒、木马

身在区块链领域中难免要下载一些程序等,建议存储区块链资产的手机要与平时上网用的手机分开,以免被病毒、木马程序盗取密码和资产。



8、不要贪图小便宜

还要注意一些空投糖果的注册链接要核实无误后才点击注册,以免因小失大;量少的数字资产还是尽量存放在ABCC这样靠谱的交易所内,说不定还能收到糖果的意外惊喜呢。


9、交易所应对USDT 充提漏洞更重视

2018年6月28日,有安全公司突然发表言论:提醒各大交易所尽快暂停 USDT 充值功能,并自查代码是否存在逻辑缺陷。

该安全公司报道,交易所在进行USDT充值交易是否成功时存在逻辑缺陷,未校验区块链上交易详情中valid字段是否为true,导致“假充值”,用户未损失任何USDT却成功向交易所充值USDT代币,而且这些USDT可以正常使用。

USDT因为其价值不受市场因素波动,固定锚定兑换美元,交易所常以它作为平台的基准币(法币),用户也可以在币圈预计低潮的时候,将其它代币转换为USDT,作保值处理。

经过成都链安科技分析,此次漏洞是因为,交易所可能没有对用户USDT充值交易进行确认,导致用户可能“假充值”,根本原因是再进行区块链Dapp开发时,对区块链接口开发理解不充分、没有做好严格安全把控。


10、EOS 假账号漏洞引起重视

如果 EOS 钱包开发者没对节点确认进行严格判断,比如应该至少判断 15 个确认节点才能告诉用户账号创建成功,那么就可能出现假账号攻击。


具体的漏洞攻击过程为:首先,用户使用某款 EOS 钱包注册账号(比如 aaaabbbbcccc),钱包提示注册成功,但由于判断不严格,这个账号本质是还没注册成功。其次,用户立即拿这个账号去某交易所做提现操作。最后,如果这个过程任意环节作恶,都可能再抢注 aaaabbbbcccc 这个账号,导致用户提现到一个已经不是自己账号的账号里。


成都链安科技专注区块链智能合约安全,但是安全无小事,无论是钱包、交易所安全,还是区块链智能合约安全、区块链平台接口使用安全或者平台本身的安全都非常重要。成都链安科技给出的建议是:轮询节点,返回不可逆区块信息再提示成功,具体技术过程如下:

1.push_transaction 后会得到 trx_id

2.请求接口 POST /v1/history/get_transaction

3.返回参数中 block_num 小于等于 last_irreversible_block 即为不可逆


总结

不管在哪个领域,涉及安全性问题一直都是人们比较关注的。在区块链领域,安全挑战就更大、情况更为复杂。

数字货币及token是目前区块链最主要的应用场景之一。

区块链已成为利益高速流通的新兴领域,如果没有“区块链安全”为交易所、智能合约、数字钱包做好维护的话,区块链美好的数字世界生态图景都将是空中楼阁,区块链安全的革命尚未成功,我们还需继续努力!

你可能感兴趣的:(金融,区块链,以太坊)