TOK:imToken 钱包安全月报 7 期：什么会影响你的私钥安全？

2022年9月20日，加密做市商Wintermute遭DeFi黑客攻击损失1.6亿美元。

据悉，Wintermute的被盗地址疑似由Profanity工具生成，而该工具早在2022年1月已有安全研究者确认其生成私钥的随机性存在安全缺陷。从第三方安全公司报告得知，黑客也正是利用这个安全缺陷暴力破解了Wintermute的私钥进行资产转移。?

请注意，如果你的钱包是用Profanity工具生成的，请尽快转移资产至安全的钱包。

为什么随机性会影响私钥的安全？

私钥本质上来说，就是一串由256个0和1组成的随机数，共有2^256?种组合。就好比你抛硬币，将正面朝上记为1，反面朝上记为0，抛一次硬币都有2^1种可能性：0或1。抛两次硬币就有2^2种可能性：00，01，10，11。那么抛256次，就一共会有2^256种可能。

安全团队：不法分子通过短信发送imToken虚假网址、钓鱼链接进行非法操作:金色财经报道，Fairyproof监测发现，近期有不法分子通过短信发送imToken虚假网址、钓鱼链接进行非法操作，盗取用户资金。Fairyproof强烈建议用户不要点击未知链接，不要输入地址的助记词或私钥，或其他隐私信息，必要时通过官方渠道进行咨询或验证，以免造成资金损失。[2023/1/13 11:10:25]

2^256是一个近乎无限大的数字，即便是以目前算力最强大的超级计算机来暴力破解找到某一个特定的私钥，可能性也无限接近于0，但如果一些生成私钥的工具算法存在缺陷导致随机性不够，如上文提到的Profanity，就会使私钥的随机性大大降低，增加黑客暴力破解的概率，从而威胁私钥的安全。

警惕假冒imtoken“交易回滚”局，部分赃款已流入币安交易所进行套现:据数字资产安全追踪平台CoinHunter报道，近期有用户提交丢币事件反馈称遭受imtoken“交易回滚”。钓鱼账号创建假的imtoken官方电报群并充当官方技术人员身份，引导“搬砖套利\"被用户在指定网站输入私钥进行所谓“交易回滚”操作进行二次。目前，黑客已将0xfc74455开头地址的赃款转移至币安交易所进行套现。CoinHunter提示，该黑客曾在币安交易所至少套现数十次，接下来可能还会有大量赃款仍以此类方式转移至币安交易所套现，建议相关交易所及时采取行动冻结相关黑客账户，进而帮助受害者挽回损失。[2020/4/15]

因此在管理数字资产时，所使用的私钥是否足够随机非常重要。那么imToken是如何确保随机性的呢？

imToken公告多起假冒EOS空投案:imToken团队近日发布公告提醒，最近发生多起因EOS钓鱼网站以及Telegram假冒EOS空投导致用户资产被盗的案件。其中有黑客通过钓鱼邮件发送假冒空投信息，引导用户进入假冒的EOS空投网站而用户一旦输入私钥，资产就会被盗。另外还有人在Telegram里宣传EOS空投，最终引导用户进入钓鱼网站。金色财经提醒各位投资者注意防范风险，避免造成财产损失。[2018/4/21]

imToken如何确保随机性？

为了确保足够的随机性，imToken在Android和iOS系统使用的都是系统提供的随机数生成器。比如iOS的熵来源是一段时间内系统发生的事件统计。由于系统的内核状态是实时不同的，所以私钥的随机性有充分的保障。

imToken一直在行动

屏蔽TRX钱包域名名称代币

9月初，有用户反馈TRX钱包内收到了若干域名名称代币，例如：365haxi.com。子利用这些代币来诱导用户进入对应的域名网址，并通过恶意授权获取用户的代币转账权限，从而盗取用户的资产。

imToken联合Tronscan风控部门针对TRX钱包中的此类代币，建立了一套完善的屏蔽流程，提交并屏蔽了370个域名名称代币，一方面提升了TRX钱包页面的整洁度，另一方面避免用户点击进入对应钓鱼网站从而损失资产。

安全警示｜相同尾号地址局

你是否也有转账时，复制交易记录中过往地址的习惯？近期，子利用用户的这个习惯，生成相同尾号的地址作为伪装地址，并利用伪装地址向用户小额转账，使得子的地址出现在用户的交易记录中。

例如下图：用户经常转账的地址为「TUahsb…JjXyp3」，伪装地址为「TSeqQh…sjXyp3」，它们有相同的尾号「jXyp3」。

若用户从交易记录中复制地址进行转账时，只核对了尾号，则很容易错误复制成子的伪装地址，不小心转账后就会造成资产损失。

imToken团队在此提醒大家：由于区块链技术不可篡改的特性，链上转账一旦成功，则无法进行取消、撤回等操作，所以转账前请务必仔细核对地址！

安全风控

九月份，imToken共标记风险代币25个；封禁风险DApp网站445个；标记风险地址600个。

详见风控数据

另外，如果你发现了疑似风险的代币或者DApp，请及时反馈给我们：，帮助更多用户避免资产损失。

最后

安全真的是一个非常广泛的话题，专业如私钥随机性，日常如转账习惯，稍有不慎就有可能导致资产的损失。那普通用户能做什么呢？我想，应该是持续的学习安全知识和时刻具备防范的意识。imToken会持续输出安全内容，传递给更多的用户，用时间和坚持抹平信息差。

标签：TOKENKENTOKETOKJuventus Fan TokenSquare TokenSuper miner token DecimalsTokemon

以太坊交易热门资讯