12 月 26 日, 多链非托管钱包服务疑似出现大范围资金盗取事件,众多用户在社群上反应钱包中资金被盗,官方稍早紧急公告,表示团队正在排查原因,初步认为是软件安装的apk档案被黑客篡改后放在网络上让人下载安装,如因平台原因导致资产损失,安全基金将进行全额赔付。
截至12月27日, 钱包被盗事件金额已上升为 800 万美金,而且金额还在持续增加,涉及 BSC、ETH、TRX、 4 条链,共计 50 个黑客地址,此次大规模盗窃的原因是黑客劫持了最新安装包7.9.2,用户钱包提示需要更新,更新完之后就出现了被盗的情况。
如果你用的是钱包,请马上转移资产。
链上安全事故频频发生,钱包被盗时有发生,我们在使用去中心化钱包的时候需要注意什么才能避免资产被盗呢,在这里给大家提几条建议。
1、使用主流大牌的钱包:
目前市面上的钱包成百上千,很多小钱包可能会存在漏洞或者本身就留有活动,而大牌的钱包往往经过时间的沉淀,漏洞比较少,团队的信誉也比较好,出问题的可能性自然就低,PC端推荐使用小狐狸钱包,手机端可以选择、TP、麦子钱包等。
2、到官网上下载钱包:
很多小伙伴平时安装app习惯于在手机应用商城上或者搜索引擎上搜索安装,如果安装钱包你也是这么操作,那是非常危险的,应用商城和搜索引擎上搜索的结果有可能是假的网站或者假的安装包,一但安装了假的钱包,就会造成资产的损失。
3、钱包助记词和密钥不要触网:
很多小伙伴为了图省事,直接把助记词或者密钥信息保存在电脑或者手机上,其实这是不可取的,现在很多手机应用每天都会扫描手机,读取手机上的信息上传到服务器中,遇上恶意的app很容易造成信息的泄露,资产的损失。
建议的做法是将助记词或者密钥手抄在纸上,并做好备份,放在不同的地方保管,或者是用一台废弃的手机来备份钱包信息,平时不联网。
4、不要随便进行钱包授权和签名:
我们在访问很多网站时,都会跳出来请求钱包的签名,如果没有对签名的信息进行确认就允许签名,就很容易导致资产被盗,只建议对了解的网站签名,每一次签名都要确认签名的信息,千万别怕麻烦,对于经常使用的网站可以添加到收藏夹,慎用搜索引擎。并养成定期取消授权的习惯,别怕麻烦。
5、私钥别随意复制粘贴:
现在的手机尤其是安卓im钱包安全和手机有关吗,很多APP已安装就会申请读取剪贴板的权限,就随时读取剪贴板,你在手机复制私钥和助记词的时候,别的APP就会读取并上传到服务器,于是在各类APP的后台服务器就有你的私钥,遇到恶意APP直接就能把你的资产转走了。
6、转账时确认好地址:
最近出现了一种骗局,骗子利用用户复制交易记录中过往地址习惯,生成相同尾号地址作为伪装地址,并利用伪装地址向用户不断空投小额 Token,使得骗子地址出现在交易记录中,稍不注意复制错误地址就会导致资产损失
在转账的时候一定要确认好地址的每个字符。
结论:
对很多新人来说imToken官网下载,并不建议使用去中心化钱包,把资产放在大交易所远比放在钱包安全,在交易所操作失误,资产还可能找回,而去中心化钱包就不一样了,使用去中心化钱包需要养成良好的习惯,稍有不慎就可能会造成资产的丢失,一旦丢失找回的可能性为零。
