冷钱包被盗？两次！

前情回顾

那些年，我所经历的丢币盗币案件 (1)

9.4 之后的连环案

不可能是他

前文讲到了一个用户拒绝相信自己相处了四年的朋友盗了自己价值 100 多万的代币，直到事实呈现在他面前，才不得不接受现实。今天我们再来介绍一起「离奇」案件。

案件背景

2018 年 4 月，我接到了一封来自马来西亚华侨的求助邮件，她的表述让我瞬间对这个案子产生了极大关注：

“我用你们 imToken 钱包已经第二次被盗了，我可以肯定私钥完全没有泄露过！第一次被盗，我的侄子告诉我可能（是因为）使用的是热钱包，不安全，建议我用你们的冷钱包。按照你们的教程使用冷钱包，结果又被盗了，我备份的就是助记词，也是按照教程抄写备份的，所以我怀疑你们的产品有很严重的安全问题！”

出于对产品的自信，我先排除了 imToken 存在安全问题的可能，那么还有两条关键线索：

• 两次被盗，还是冷钱包？-> 离线管理，不太可能是网络攻击

• 只备份助记词，抄写！-> 只有助记词泄露才会导致被盗

“一定是助记词出现问题了！那么都有谁会接触到她的助记词呢？” 围绕着这个重大突破点，我打通了这个跨国电话。

Cathy(化名)：我可以肯定我的私钥没有泄露，一定是你们产品出现了问题！这件事你们是有责任的！

我：你的助记词抄写在哪里？

Cathy: 本子上

我：本子在哪里？

Cathy：只放在家里

我：你家里都有谁？

Cathy：只有我老公！

我：你老公了解数字货币吗？

Cathy：不懂。就算懂也不可能是他啊。

我：很难说。

( 安静了一会儿 )

Cathy：哦，对了，前几天，我的侄子也在我家借宿... …

我：你的侄子是做什么工作的？你有两次被盗，在你侄子借宿你家之前，是否有出现被盗事件？

Cathy：他在马来西亚这边在赌场工作，也投资数字货币，我的钱包被盗是他来我家借宿之后，也是他告诉我，被盗是你们钱包的安全问题，让我来找你们。

我：可以肯定你是助记词泄露了，你的侄子嫌疑很大，他具备一切作案条件和动机，但是技术上我无法帮你确定。你可以尝试告诉他，imToken 已经帮我锁定了目标，但是还需要一些时间，我们再通过 Etherscan 监听盗币地址，如果在你们交流之后，盗币地址很快就出现资产流动，准备销赃，我们就有大概率确定是他作案。

一切皆有可能！

结果不出所料，在 Cathy 反复劝说下，她的侄子承认了自己的错误，盗币手法也很简单，只需要找到 Cathy 备份助记词的本子。

关于「监守自盗」，我曾经处理过「朋友」、「亲人」、「爱人」等多种类型的盗币案，每次结案之后，同事都会和我开玩笑说：“Simon，你还相信人间自有真情在吗？” 我只能苦笑一声，竟无语凝噎。而这类案件处理多了，也不自觉地产生了「免疫力」，在和被盗用户沟通过程中，每每听到他们说：

“不可能是他！”

“不可能的，我们关系很好的。”

“他（她）肯定不可能的，你们自己钱包安全有问题，不要挑拨我们之间的关系。”

……

我都会借用一句广告词：“在这个行业，一切皆有可能！”

安全的错觉

这样的案件，不光带给我对于人性的思考，也让我感受到用户对于钱包安全的认知还是普遍偏低的。以下是常见误区：

• 足不出户，数字钱包就不会被盗吗？

• 隔绝网络，用了冷钱包离线存储，就能保障绝对安全吗？

• 密码足够长、足够复杂就不会被破解吗？

我想告诉大家，安全是相对的，没有绝对的安全。对于数字钱包的安全管理，核心问题还在是否做好私钥或助记词的备份及存储。记住，即便你使用的是 imKey 硬件钱包，也不能泄露自己的助记词，因为多一个人知道你的助记词（私钥），就多一重风险，不要让所谓的「安全措施」带给你安全的错觉。

三言两语来剧透

最近两期更新的内容过于沉重，害得我最近已经开始看《妙色王求法偈》、《金刚经》等经书平复内心。后续的内容，我会给大家讲一些相对轻松的故事，在欢乐中学习钱包安全知识。

下期预告：

秀才遇上兵，有理说不清！