TEL:MGC钱包被盗启示录_TDR Token

???6月12日,数字钱包MGCToken发生资产被盗事件,大量用户反映他们存放在钱包里的以太坊不翼而飞。据统计,这些币被批量转移到一个0x2B290开头的地址中,资产总额近300万元。

此后,外界纷纷传言MGC团队正卷款跑路。对此,MGC官方第一时间辟谣,并承诺全额赔付用户损失。

蜂巢财经调查发现,MGC用户丢失的币仅为存放在钱包里的小额矿工费,单个用户的损失金额在十元到数十元不等。

单个用户损失虽不多,但该事件也暴露出一个现实问题,投资者存放在MGC钱包里的资产不安全。过去一周时间,官方始终未对事件发生的原因作出令人信服的解答。

“官方工作人员开始说是由于用户绑定了第三方钱包,所以导致资产被盗,但事实是,我没有绑定imToken、火币钱包等第三方软件,以太坊也被转走了。”投资者张虹认为,“资产被盗是由于官方储存了用户私钥,而这些私钥被黑客盗走了。”

律师观点:美国税收新规在实践中存在多个问题:7月31日消息,美国两党此前提出一项基础设施法案,计划通过在交易所和其他各方应用新的信息报告要求,通过加密货币税收筹集约280亿美元。根据一份法案草案副本,转让任何数字资产的经纪人都需要根据修改后的信息报告制度提交申报表。在实践中,这意味着加密矿工、权益证明网络的验证者,甚至可能是那些活跃于去中心化金融市场的人(比如清算人或治理代币持有人)必须满足IRS报告要求,并提交1099表格。这些表格包括客户数据,如姓名、地址和税务识别号(对于自营职业者,可以是社会保险号)。

DeFi借贷协议Compound的总法律顾问Jake Chervinsky在推特上对此评论称:“对于矿工等非托管方来说,他们根本不可能获得填写1099表格所需的信息。实际上,这可能意味着美国(事实上)禁止挖矿。”加密货币和公民自由律师Marta Belcher则表示:“该法案可能使人们无法通过开源代码(如智能合约和去中心化交易所)直接与他人进行加密货币交易的同时保持匿名。”Chervinsky补充说:“采纳一项根本无法遵守的法规是不合逻辑的,除非其目标是扼杀整个行业。”了解该法案谈判的消息人士表示,Chervinsky对形势的解读是正确的。然而,这一条款是否会被纳入很可能会通过的最终法案尚不确定。Belcher补充称:“尽管该法案的措辞正在迅速演变,但其定义足够广泛,可能也会纳入加密领域的矿工和其他人。”(Decrypt)[2021/8/1 1:27:04]

蜂巢财经与MGC方面取得联系,对方表示,不想接受采访,希望解决好后用事实说法,“目前漏洞已经修复,资产全都会补给用户。”

观点:YFII等去中心化产品的优势在于没有准入许可和隐私危机:Primitive Ventures创始合伙人万卉(Dovey Wan)在微博表示,二姨夫是一个狭义定义上的基于智能合约的去中心化被动投资平台,二姨夫这类产品的优势在于:

1. 透明和无第三方资金托管,可以在链上清晰看到每一步的钱都是怎么用的,随时赎回。08年的金融危机和前两年各种P2P暴雷,就是因为中心化金融产品是一个黑盒。

2. 没有准入许可,没有隐私危机。中心化金融的准入许可和手续繁多,并且有极高的隐私维护成本。并且中心化金融就是利用手里的用户隐私数据做了很多定价上的操作,我们常说的价格歧视,这个价格歧视可能是因为信用差距,也可能是因为其他的差异。去中心化相当于让每笔钱都在同一个平台上,每个地址都是平等的 ,每笔钱和每笔钱享受一样的服务。

3. 现在无法自动化的瓶颈是无法做链上的合约审计,保证合约安全是可以去做合约交互的第一步。Formal Verification等常用的合约审计手段暂时还无法上链,而且逻辑漏洞很多时候也只能靠人脑,等AI编程成熟,外加基础链的性能大幅度提高,预言机升级多N个版本。可能链上合约审计才有可能实现..[2020/8/26]

不过,一个悬而未决的问题是自称“去中心化”的MGC钱包为何会导致大批用户私钥及助记词丢失?它是否私自保存用户私钥?钱包完成更新后,又如何保证此类事件不再发生?

观点:美国4840亿美元经济刺激将使比特币价格继续走高:4月21日,美国参议院批准了一项4840亿美元的补充刺激计划,此轮刺激措施将使股市继续走高。因为比特币也与标准普尔500指数(S&P 500)存在相关性,它很可能跟随股市走高。此外,看好比特币的人士表示,这些刺激法案还提升了加密货币的稀缺性和去中心化的价值主张,因为这些法案表明了凭空印钱是多么容易。(Bitcoinist)[2020/4/23]

“事实上,彻底辨别一个钱包是否去中心化,有无私自保存用户私钥的最好方法是开源检查,不过,目前国内唯一一个开源的软件钱包是比太钱包。”比特派钱包创始人文浩建议用户,如果要储存大额数字资产,最好使用冷储存的开源钱包。

资产被盗社群追根究底

6月16日,距离MGC钱包集体丢币事件过去4天时间,MGC官方亮出了最新的赔偿进度,“我们将在48小时内,找回大家的资产,同步到新的钱包地址里。”

库币将于8月21日18:00上线DeFi项目DMG:据库币KuCoin交易所消息,库币将于8月21日18:00上线DeFi项目DMM Ecosystem (DMG)并支持DMG/USDT交易服务。DeFi货币市场(DMM)在以太坊区块链上提供了一个信任度需求最低,透明且未经许可的环境,使世界各地的用户能够使用mToken将数字资产(ETH,DAI,USDC,USDT)通过链式进入DeFi空间,并使这些资产获得稳定的收益。库币数字货币交易所,为来自207个国家的500万用户提供币币、法币、合约、矿池、借贷等一站式服务。[2020/8/21]

如今,在多个MGC社群中,社群管理员正在对丢币用户进行统计,包括注册手机号、丢失的以太坊和MGCToken数量、转账记录等。

随着官方通报的最新情况,围绕在MGC团队身上的跑路传闻暂告一段落。但用户对发生“6.12”安全事件的原因追问并未因官方赔偿而中止。

6月12日,一则关于MGC钱包被盗的消息刷屏了多个炒币群。有大量用户发现,他们存放在MGC钱包里的以太坊被私自转走,“我被盗的以太坊本来打算用于Token转账的矿工费。”一名MGC钱包用户告诉蜂巢财经。

OMG(OmiseGo)将于8月21日 14:00 上线BiKi平台:根据官方公告,OMG(OmiseGo)将于8月21日14:00上线BiKi平台,开放OMG/USDT交易对,并将于8月21日13:00开放充值。

OmiseGO通过开发新一代支付服务来解决支付处理商、网关以及金融机构之间基本的协调问题。该支付服务支持在货币及资产类型间进行转换操作。通过OmiseGO网络和电子钱包,每个人都可以完全分散,高频和低成本的方式进行诸如付款、汇款、工资发放、B2B商务、供应链融资、忠诚度计划(loyalty programs)、资产管理以及其他按需服务等金融交易。OmiseGo网络不再区分法币还是去中心化加密货币:随着更多的人接受和使用,最好用的货币将胜出。[2020/8/21]

据多名MGC的投资者及社群用户反馈,此次丢失的币仅为MGC钱包里的小额矿工费,单个用户的损失金额在十元到数十元不等。

MGC投资者提供的被盗截图

有业内人士通过分析此次转出的以太坊地址发现,用户的资产正被批量转移到一个0x2B290开头的ETH地址中,共计完成了超4万次小额转账,资产总额近300万元。

当天下午,多家币圈媒体报道“MGC团队疑似卷款跑路”。消息一出,该钱包方发行的代币MGC的价格瀑布式下跌,跌幅超70%。据Biki交易所数据显示,MGC币当日开盘价为0.731美元,最低跌至0.2美元。

事发后,MGC官网回应,用户反馈发生丢币问题,他们会尽快补偿损失。

尽管单个用户的损失不大,官方也承诺了会在48小时内对用户损失进行补偿,但此事暴露出的一个现实问题是,投资者存放在MGC钱包里的资产不安全。

“对我来说补偿并不重要,十几块钱而已,我只想知道问题出在哪?”网名为“皮囊”的用户表示,“官方是没有卷钱跑路,问题是,它能否轻而易举的转移用户资产?”

钱包商拒谈丢币原因

MGCToken钱包的安全事件发生后,官方曾将丢币问题归咎于第三方钱包供应商,要求用户解除第三方钱包的绑定。其公告中,第三方钱包imToken被“不幸”点名,认为该应用存在安全漏洞。

上述说法很快遭到反击,imToken公告称,所有被盗地址均是使用MGC钱包创建的以太坊地址。它建议用户立即停止使用在MGC中生成钱包地址,并提醒用户生成新的钱包地址,将资产进行转移。

“MGC为一款中心化钱包,会存储用户私钥。并不像其所宣传的是一款去中心化钱包。查询以太坊地址的转账记录发现,可以推断盗币者掌握了几万个被盗钱包的私钥,通过程序进行了违法的盗币行为。”imToken表示。

第三方钱包的公告引起MGC社群的讨论。投资者张虹认为,资产被盗归根结底是由于MGC储存了用户私钥,而这些私钥被黑客盗走了。

他表示,“官方工作人员开始说是由于用户绑定了第三方钱包,所以导致资产被盗,但事实是,我没有绑定imToken、火币钱包等第三方软件,以太坊也被转走了。”

对于用户质疑,截至发稿时,MGC官方未作回应。对此,蜂巢财经通过多方途径与MGC方面取得联系,对方表示,不想接受采访,希望解决好后用事实说法,“目前漏洞已经修复。”

截至目前,MGC报价0.72美元,过去5天时间内涨幅达最高260%。

MGC的币价已恢复到6月12日时的开盘价,但作为一个存储用户资产的钱包,自称“去中心化”的MGC到底如何导致大批用户私钥及助记词丢失?它是否私自保存用户私钥?钱包更新后,又怎样保证此类事件不再发生?

MGC币价5天内经历暴跌暴涨

MGC官方对于丢币的核心原因避而不谈,用户的质疑并未就此打住。

有人认为,imToken和MGC钱包双方的核心代码都不开源,双方说自己是去中心化钱包,都没有说服力。

“掌握用户私钥的平台不算钱包”

过去一周时间,MGC官方始终未对事件发生的原因作出令人信服的解答。用户普遍关心的问题是:即使黑客攻击了钱包服务器,如果官方并未保存用户私钥和助记词,攻击者如何能转移用户资产?

有别于中心化的存币平台,去中心化钱包通过生成私钥和助记词,并将助记词或者私钥提供给用户。火币钱包市场运营负责人李成才告诉蜂巢财经,这些私钥或者助记词可以直接导入到其它去中心化钱包,这是去中心化钱包的特征之一。

李成才解释,如果此类钱包在去中心化上做得不彻底,或者不专业,而将用户私钥或者助记词明文放在自己的服务器中,一旦该服务器被黑客攻击而导致资产被盗,黑客也会拥有私钥或者助记词,也就拥有了转账的权力,“这就类似于一把锁,有两把钥匙,用户持有一把,另外一把被保存在钱包服务器上。”

比特派钱包创始人文浩介绍,如果钱包服务商掌握了用户私钥,或者将私钥存在服务器上,那就不能称之为钱包,只能叫中心化的存币平台,“类似于交易所。”

对于如何辨别一个钱包是否去中心化,文浩表示,彻底辨别一个钱包是否去中心化,有无私自保存用户私钥,最好方法是开源检查,“因为只有开源,才能证明私钥100%是用户自己掌握的。”

不过他强调,目前国内唯一一个开源的软件钱包是比太钱包,如果用户要储存大额的数字资产,他的建议是“最好使用冷储存的开源钱包”。

对于钱包商不彻底开源的原因,文浩表示,主要看钱包商自己的考虑,开源闭源都是商家自己的选择。

他以比特派钱包举例,它的模式和比太钱包不一样,比太是纯去中心化模式,区块数据是要和比特币网络上的节点同步的。而比特派则需要和中心化服务器同步,也就是私钥在用户手里,但交易数据要从钱包的API来抓取,“考虑到系统结构的复杂性,因此当前我们还未对比特派进行开源。”

随着区块链行业发展,数字资产呈现多样化,可以预测的是投资者对数字货币钱包应用的需求将长期存在。钱包商获得了用户信任并不意味着风险不存在,MGC的安全事故无疑给币圈用户敲响了警钟。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:0ms0-4:297ms