虚假网站,如何判断?
2021年5月29日,imToken用户支持团队接到一名珠海用户的举报,称钱包内价值超过500,000USDT的资产被盗。安全团队了解情况后得知,受害用户是通过某度搜索,进入了虚假imToken网站,从而下载了假的钱包App,导致资产被盗。
顺着该线索,imToken安全团队发现子在某度上购买了「搜索关键词」及广告位,用户无论搜索imToken,麦子或者是TokenPocket,甚至搜索MetaMask,搜索结果显示排名第一至和第三的都是子网站(如图1),用户在这些网站上,会下载到假的钱包应用。
某度搜索结果图1
面对这样的局,imToken安全团队一方面联系某度公司,下架子广告,另一方面也主动联系,在尝试封禁这些网站的同时,也在不断搜罗收集证据,从而帮助对这些不法分子实施抓捕。截至发稿日,虽然子广告已经下架,可部分钱包虚假网站仍在,希望广大用户提高警惕,认准你所下载的钱包官网。
ImToken将支持MatterLabs扩容方案zkSync:3月29日消息,去中心化钱包imToken宣布与以太坊扩容团队MatterLabs达成深度合作,将支持其Rollup方案zkSync。除了在钱包产品中原生支持zkSync之外,imToken在DApp浏览器中开放Layer2专区,上架优质Layer2DApp提供给用户,还支持了自定义节点功能以及EIP-3085,大幅提升了imToken对Layer2项目的兼容性,即便没有原生支持,只要手动配置节点就可进行支持。[2021/3/29 19:25:54]
关于用户对官网辨识度的调查图2?
在做好安全防范的同时,安全团队也在试图分析该类局。其实数字钱包或交易所假网站,是非常难以防范的,它在用户了解数字资产的整个生命周期伊始,就构建了一个圈套。因为一般用户刚接触这个行业是处于非常「懵」的状态,本身区块链的认知门槛就比较高,在财富效应的催生下,部分用户更是急于跨过认知期,直接进行数字资产购买。而对于新进行业用户,钱包服务商、交易所、安全机构等之前所做的安全宣传和用户教育是触达不到的。所以子利用这种「信息差」,对新进行业用户形成了「吊打」的局面。
另类金融投资公司Pipe三位联创将辞职,并未向加密矿企提供8000万美元贷款:11月29日消息,另类金融投资公司Pipe已宣布三位联合创始人将辞去行政职务。此前有消息称该公司向数家加密矿企提供了高达8000万美元的贷款,目前部分矿企已经倒闭,迫使其不得不减记这笔资金。Pipe公司发言人澄清并没有发放8000万美元贷款,也没有减记任何相关应收账款,但证实Pipe的确在为加密矿业托管公司提供了融资渠道,然而该发言人以“不分享财务数据”为理由拒绝透露资金损失情况和合作矿企名字。
此外,Pipe此前于Compass Mining建立了合作伙伴关系,后者目前正陷入财务困境。(TechCrunch)[2022/11/29 21:09:53]
不过作为钱包用户,也不用「杯弓蛇影」,这里有几个小技巧可以帮助防止此类局:
加密货币交易所Upbit公布代币上市和退市程序:金色财经报道,韩国最大的加密货币交易所周五公布了其代币上市程序,以回应Terra稳定币崩溃后政府的压力。上市程序包括审查基础项目的透明度,支持交易和投资者的公平参与。除名标准包括违反法律,发现技术漏洞,放弃项目和用户保护。总部设在首尔的交易所在退市前10天发布通知,紧急情况除外。
6月,5家韩国交易所退出区块链协会,成立了数字资产交易所联合协议会。Upbit将是这个自律组织的关键角色,该组织计划起草政策建议供政府关注。(coindesk)[2022/9/6 13:10:31]
将常用网站添加到浏览器收藏夹内;多渠道了解比对项目信息:在了解一个项目的时候,可以先在公众号、微博或Twitter等搜索信息,子维护多渠道的成本会比做一个假网站高很多。而这些渠道基本都会有真正的官网链接;请教身边可信的人:在了解钱包的时候,一定要找对行业有基础认知,且现实生活中熟悉的人,最好当面请教。不要在微信群或者Telegram等即时通讯应用里询问,很容易上当受;虚假网站一般是非常粗糙的,比如多语言环境,虚假网站一般都不支持多语言,即便支持也是机翻直译,无法做到官网的细腻;把上述方法或你认为有效的防知识,告诉身边的朋友,构建「群体免疫」。术横生,防不胜防
菲律宾央行:将为加密货币提供一个“有利的环境”:金色财经报道,在菲律宾的加密货币采用率不断上升的情况下,该国的中央银行正在寻求措施,通过提高当地的加密货币意识来更好地保护投资者。菲律宾央行Bangko Sentral ng Pilipinas(BSP)的一位代表在接受采访时表示,菲律宾央行希望促进加密货币教育,因为当局看到了与加密货币和区块链相关的很多好处。BSP表示,BSP关注的是虚拟资产改善金融服务的能力,特别是支付和汇款服务,因为它有潜力提供更快和经济的资金转移,包括国内和国际。
该央行代表说,为了应对越来越多的采用,菲律宾央行目前不打算对加密货币投资或交易采取任何重大限制。相反,BSP正在寻求实施一种监管方法,旨在通过“基于风险的和适当的监管”提供一个“有利的环境”。(Cointelegraph)[2022/8/15 12:26:52]
除了上述详细谈到的虚假网站局外,最近还有几种升级版局在危害钱包用户:
imToken关于以太坊网络拥堵引起打包超时的说明:imToken发布公告称,近期以太坊网络拥堵,待打包队列持续在2-3万笔区间。很多用户碰到打包超时或广播失败找不到交易Tx。imToken维运团队已经对imToken节点池配置进行优化。imToken建议用户:1.提高矿工费,建议4gwei以上;2. 交易Tx找不到或打包超时,可以进一步提高矿工费重试。但请先通过etherscan查询验证结果后进行,避免产生重复转账问题。3.也可以尝试设置web3节点为:http://mainnet.infura.io[2018/4/29]
1.钓鱼二维码局该局主要手法为,假设用户钱包内原有1000个USDT,子通过活动诱导用户扫码转账1个USDT,但后来发现剩余的999个USDT在没有经过同意的情况下,就被转走了。如果你想学习如何避免该类局,可以阅读《安全提醒丨请警惕钓鱼二维码局》。2.空投诱饵局该局目前主要滋生在波场链上,以OZBT假空投为例,其主要表现形式为,用户在钱包里收到空投代币的同时也会收到其代币信息,信息会告知你获得的OZBT空投可以在其去中心化交易所中兑换价值不菲的TRX代币。当你前往他们的交易所,尝试进行兑换的时候,会发现进行的是TRX的转账,也就是扣款转账。该局主要利用用户收到空投后,想尝试无损兑换,但却忽略了转账详细信息,从而将钱包里有价值的代币转给子。这有点像传统戏法里的障眼法。
子会利用空投做诱饵让用户授权钱包图3
3.真假去中心化钱包局如果说虚假网站是诱导你下载假钱包,那么有些钱包则「放长线钓大鱼」,把自己伪装成去中心化钱包,利用其钱包发行代币的增值作为诱饵,诱导用户在钱包里创建或导入私钥,同时将用户私钥上传到服务器中。比较典型的子项目是LCS和MGC等。如果你想更多了解该类局,可以阅读《警惕丨LCS钱包用户请注意》。
魔道斗法,一直在行动
据imToken用户支持团队不完全统计,2021年1月至6月,imToken接到等举报430起,相较于2020年上半年增长了35%。根据imToken安全团队提供的数据,今年五月份,imToken共标记风险代币6枚,封禁风险DApp网站54个,标记风险地址4个。同时为了应对高风险DApp局,imToken紧急发布2.9.2版本,升级DApp浏览器风控系统,可以阅读《imToken2.9.2,DApp浏览器安全风控再升级》了解详情。
虽然市场逐渐回归到冷静期,但余温仍在,最近也有不少热点可以去「追」。但imToken团队还是一致认为应该把注意力放在安全这件事上,我们的运营小伙伴也按捺住一颗推广业务的心,精心准备了「钱包安全周」活动,通过答题,直播,社区话题讨论等形式,让更多的用户参与其中,了解最新局,避免更多人受灾。点击了解详情,希望你可以分享安全周活动,关心身边人。
最后,题外话,为什么要做「钱包安全月报」?
前文有提到,有些局在用户刚进入这个行业的时候就产生了,还来不及找到「组织」,就被「拐走」了。任何一个项目的渠道都是有限的,能触达的生命周期是从用户「登陆」之后,这给局防范带来了很大挑战。许多刚刚接触区块链的用户,因为局而丧失了信心,这对整个行业也是巨大的打击。所以我们希望可以持续做一件事,滴水穿石,用时间和坚持抹平宣传渠道的局限性。
imToken有上千万的下载量,在这背后是庞大而真实的钱包用户故事,我们身处一线,可以快速捕捉这类问题,一方面通过自身经验帮助用户解决,另一方面针对新型局,也可以反馈给社区,避免更多的用户受灾。无论你是哪款钱包的用户,都可以从我们的月报中有所收获。
所以,希望你在关注「imToken钱包安全月报」的同时,也把这份月报带给身边的人,带给同处于区块链圈子里的朋友。在钱包安全面前,没有「大佬」,只有失去之后的追悔莫及。
如果你有任何关于钱包安全方面的案件和素材,欢迎发送到,也可以登录https://imtoken.fans安全专题和我们一起构建钱包安全社区。
相关资料:
波场上的代币
imToken5月风控数据
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。