imToken钱包被盗用户调查进展以及案件分析

最近, imToken 协助用户破获了四起盗币案件, 这四起盗币案件都是因为用户将私钥泄露导致的, 其中两起案件属于受害用户身边的亲朋好友 "监守自盗", 另外两起案件是受害用户将私钥主动告诉第三方, 导致被盗。在征得受害用户允许之后, 我们将这些事件完整呈现出来, 希望广大用户从这些事件当中吸取教训, 引以为戒。
Case1
2017 年 10 月 16 日, 广东东莞用户发现自己 100 多个 ETH 被盗, 在 imToken 工作人员的协助下, 该用户最终确认是身边的朋友盗取了他的代币。该用户回忆说, 当时在备份钱包时, 这个朋友就在他身边, 通过什么手段盗取他的私钥不得而知, 因为这个朋友在归还了所盗取的代币之后, 就与我们失去了联系, 并没有说出具体的作案技巧, 但是从理论上推测, 有可能是在用户备份的时候采用拍照等手段记住助记词。
Case2
类似的事件发生在 2017 年 8 月 24 日, 广东深圳用户发现自己的钱包被盗, 在与其沟通中我们发现, 该用户为了防止自己钱包丢失, 将自己的钱包私钥密码告诉身边的家人, 通过这一点线索 "顺藤摸瓜", 最后确定是该用户的妹夫盗取了他的代币。
Case3
2017 年 9 月 23 日, 我们收到一封来自广东河源用户的工单, 工单告知我们 "你们的客服, 把我的币转走了"。收到消息后, 我们第一时间与被盗用户建立联系, 得知原来是有人冒充 imToken 客服人员, 索取他的私钥。经过被盗用户提供的盗币人的邮箱, 我们查找到了这个假客服, 并协助用户将盗取的代币追回。
Case4
2017 年 10 月 23 日, 收到一封江苏无锡的被盗用户邮件, 通过沟通得知, 该用户将私钥曾经泄露给一位某知名小密圈的运营人员, 后根据盗币地址查询以及转账行为分析, 确定是这个人盗取了他的代币。当我询问他为什么要将私钥告诉这个盗币人, 他说当时因为出现转币不到账的情况, 情急之下将私钥发给这个盗币人, 让其帮忙查明为什么转币不到账。
总结

通过以上的四起案件, 我们可以得出一个重要的结论 —— 不要将私钥告诉任何人! 并且 imToken 的官方客服人员在帮助你解决问题的时候, 也不会向你索要私钥。同时, 根据最近几起被盗案件, 我们也发现这些被盗者都使用 163 邮箱、QQ 或微信存储或传输过私钥, 黑客也会采用 "放长线钓大鱼" 的方式, 不会立即盗取资产, 而是等到有更多的代币转入, 或者当用户进行了转出操作, 黑客会立即盗取剩余代币。所以我们建议 imToken 用户开始自查, 确定自己是否有过可能暴露私钥的危险操作, 一旦出现, 出于小心谨慎, 还是建议你更换钱包, 并做好安全备份（抄写助记词在纸上妥善保管；保存设置了强密码的 Keystore 到离线的 U 盘）。但是可以通过该钱包的助记词, 重新生成一个 keystore。这个 keystore 可以用新的密码生成, 这也是很多用户所说的重置密码。重新生成新的keystore之后, 最好将旧的keystore 删除。钱包的管理这里我们推荐一些钱包管理工具, 比如买一个硬件钱包 Ledger, 转账时候使用 imToken ( 1.3.0 版本支持 Ledger 路径), 也可以使用 Parity, 或者 Ledger 提供的官方钱包。对于私钥的存储, 使用 1Password 或者 Lastpass 管理。其实对于钱包安全管理, 主要围绕两点展开, 一是防盗, 二是防丢。（1）防盗防盗要做到防止私钥泄露, 以及大额资产分散存储。这里还要回归到 keystore 和助记词的区别。助记词作为钱包私钥的友好格式，是非常方便大家做备份和导入的，由于它的明文性，我们不建议它以电子方式保存，而是抄写在物理介质上保管好，它和 keystore 作为双重备份互为补充。而 keystore 可以放在线上存储, 比如云盘等, 也可以存储在自己的 U 盘里, 这比线上存储相对安全一些, 即使黑客盗取了你的 keystore, 在没有该 keystore 的密码情况下, 还是无法盗取其中资产, 所以这时候该 keystore 的密码显得尤为重要。建议用户将 keystore 和 密码分开存储, 不要放在同一地方, 并且使用高强度、随机生成的密码。

热点：代币 ETH 钱包 钱包安全