小狐狸和imTokenwallet被盗?针对主流wallet的攻击 钓鱼正大规模爆发

近期业内各种wallet安全事件层出不穷：

4月18日，MetaMask wallet开发人员@tayvano_的一条5000枚ETH盗币推文在加密社区广泛传播，认为MetaMask 存在漏洞，引起社区恐慌 。4月19日，MetaMask回复因其漏洞被盗不实，但正研究此漏洞来源。

2025虚拟币交易平台推荐：

• 欧易（OKX）交易平台（>>>进入官网<<<）（下载OKX的Android安装包）
• 币安（Binance）交易平台（>>>进入官网<<<）（下载币安Android安装包）

4月20日imToken官方提醒近期有诈骗分子假冒 imToken 官方人员，通过发送短信等方式联系用户， 诱导用户访问假网站并输入助记词，导致用户遭受资产损失，而4 月21 日慢雾研究员称谷歌搜索“imToken”后的置顶广告为新型钓鱼网站，请用户切勿点击链接，注意规避风险。

4月22日，Trust Wallet发布公告，去年11月14日至23日创建新wallet的地址存在漏洞，为受影响用户创建补偿流程。

随着DeFi、NFT等链上交互需求的爆发，行业早已不像早期那会儿，只要在CEX买coin并放在CEX就可以满足大多数投资者的需求，大多数投资者会将部分甚至全部Token放在自己的wallet里，这也导致了这个行业变成了黑客的天堂、时不时会传出一些投资者因为授权，下载假的APP泄漏私钥或者wallet自身漏洞等问题，导致自己资产被盗，到头来变成一场空，保证自有资产安全已经成为行业内一项必不可少的技能。

接下来，我们将从wallet相关知识、被盗案例以及保护私钥等知识等几个方面来全面了解如何保护区块链资产安全。

wallet相关知识

在保证自己资产安全之前，需要先对业内一些关于wallet等基础知识有一定了解，才能更好的理解如何保护自己的资产。接下来简单介绍下几个相关概念。

1.对称加密与非对称加密

在了解公（私）钥之前，我们先简单了解下密码学中的对称加密与非对称加密。对称加密，是指A通过某种算法，可以得到B，而反过来，B通过相同的算法也可以逆向解密出A，这里加密解密用的是同一种算法；而非对称加密，则是A通过某种算法，可以得到B，但B无法通过相同的算法逆向解密出B，这里的加密解密需要用到不同的算法。

如图，对称加密与非对称加密的区别在于图中消息接收方公钥与消息接收方私钥是否为同一把钥匙。

2.公（私）钥，助记词，地址

了解了对称加密与非对称加密，可以更好的理解一些wallet相关的基本概念。

密钥对：在非对称加密中，有一对密钥对，分别为公钥与私钥，公钥是公开的，私钥是不公开的。

公钥：用来给数据加密，用公钥加密的数据只能使用私钥解密。

私钥：私钥可以生成公钥，用来解密公钥加密的数据。

地址：与“公钥”相对应，由于公钥过长，于是有了“地址” ，地址由公钥生成。

助记词：与“私钥”相对应，因为私钥是随机生成的字符串，过长且难记，于是催生了一组人类可读的单词代替私钥，用来帮助用户记住私钥，一般是12个无规律的短语。（私钥=助记词）

图源网络：链上交易过程

电子签名：某条信息（你给某人转账100个以太坊），这条信息需要你的私钥签名后，广播到区块链上。

签名验证：接收端可以通过你的公钥验证这个消息确实是通过你的私钥签名，那就是你发布的，交易记录上链，因此，谁掌握了私钥，谁就掌握了该wallet。

简单理解，公钥（地址）相当于你的账号，而私钥（助记词），则相当于你的账号+密码（私钥可以生成公钥）。

用银行卡来类比，公钥=银行账户，地址=银行卡号，密码=银行卡密码，私钥=银行卡号+银行卡密码，助记词=私钥=银行卡号+银行卡密码，Keystore+密码=私钥，关于wallet基础知识，可以查看白话之前的科普文章《想要安全的保管资产，先要知道wallet的这些知识》。

3.私钥（助记词）的保存

你的coin并不是存在你的walletAPP中，而是存在区块链网络中私钥对应的地址之中，只要你拥有私钥，就可以通过私钥来登录所有的wallet（该wallet支持你有coin的这条链），wallet仅仅是作为账户资金显示的前端，并不保存你的私钥。

如果私钥丢了，意味着你的资产也将丢失，无法通过wallet找回，首次注册wallet时，wallet页面一般也会提醒用户注意这点。这点和我们之前用到的QQ，微信完全不同，如果密码丢失，还可以通过手机验证，问题以及好友验证可以找回，当然，这也是区块链去中心化的魅力所在，你的资产完全属于你自己。

4.wallet种类

根据私钥是否触网，可以将wallet分为热wallet与冷wallet，如上图。

热wallet：客户端wallet、插件wallet、手机端APP。

使用方便，新手易操作，交易转账的效率比较高，安全性较差，容易被盗。

冷wallet：硬件wallet。

安全性高，适合存放大额资产，创建复杂，转账麻烦，硬件损坏或私钥丢失都可能造成数字资产的丢失。

关于wallet更详细的分类可以查看白话区块链之前的科普文章《科普 | 数字资产wallet有哪些种类?》

通过以上，我们可以知道，私钥即一切，而我们所有保护资产的措施，其实都是保护私钥，保护私钥，保护私钥。（防止私钥的丢失，被他人获取）

wallet被盗案例

了解了相关的概念，我们再来看下，目前主要存在哪些丢失的案例，通过案例，我们可以更好的保护我们自己的wallet。

1.私钥（助记词）泄漏

2021年初，生财有术创始人亦仁，将比特币私钥保存在云笔记中，导致八位数资产的BTC丢失。

22年11月，分布式资本创始人沈波价值4200万美元的数字资产被盗，被盗资产包括：38,233,180 枚 USDC、1607 枚 ETH、719,760 枚 USDT 以及 4.13 枚 BTC。据安全机构慢雾后续分析称，被盗是因为助记词泄漏所导致。

2.私钥（助记词）丢失

英国IT工程师James Howells在2013年弄丢电脑硬盘，里面存有8000枚比特币，9年后，计划花7430万美金翻遍垃圾场来找回电脑硬盘。

3.点击病毒链接

一用户胡乱点击别人发送的链接，导致黑客读取metamask本地加密备份，所有资产被盗。

推特KOL点击别人私发链接，导致推特账户被盗，然后发布带毒空投信息，利用粉丝对KOL的信任点击链接盗走粉丝资产。

4.随意授权，应用出现漏洞

10 月 2 日，Token Pocket 旗下闪兑 DEX Transit Swap 官方表示遭遇黑客攻击，资产损失超 1500 万美元，提醒用户取消授权。

10 月 11 日，DeBank团队开发的插件walletRabby称其Swap合约存在漏洞，建议用户取消Rabby Swap授权，最终黑客获利超19万美元。

5.下载假的APP（带病毒软件）

一些黑客获取平台用户信息后，通过短信给用户散布恐慌信息，平台已经不安全，需要点击链接重新安装应用或登录账户，登录后，账户资金被盗。

一用户下载假的Binance app，转账时，转入其他人地址，5个ETH的资产彻底丢失。

我们从上述案例可以看出，用户资产被盗，主要集中在这几种情况：私钥（助记词）泄漏，私钥（助记词）丢失，点击病毒链接，随意授权，应用出现漏洞,下载假的APP（带病毒软件）等几种情况。

接下来，我们来整理下有哪些方法可以避免上述情况的发生。

如何避免财产损失

1.私钥的保存（核心：不易丢失，不易损坏，其他人无法接触或接触也无法使用）

wallet生成后及时备份，双重备份，因为一旦丢失，将无法找回

助记词保存在不联网且不易丢失和损坏的介质上，比如抄在纸上，自己进行加密（增加或减少特定字符，方便记忆）；找一台永不联网手机的拍照存储；有一些wallet提供商会出售助记词相关的铁板。

使用冷wallet（硬件wallet），选择知名的冷wallet；应从官方渠道购买，不要通过第三方渠道购买（第三方渠道可能存在病毒）；设置较强的密码，同时备份私钥，防止硬件wallet丢失或损坏。

2.防止私钥（助记词）泄漏

• 不要复制粘贴私钥，有些软件可以读取用户的剪切板
• 不要将私钥保存在微信收藏，传输文件，百度云，印象笔记等网络平台
• 绝不告诉任何人私钥，记住，是任何人，一些骗子假冒wallet官方人骗取你的私钥，不要相信，wallet方也没有权力获取用户私钥
• 使用公共Wi-Fi时，不要复制粘贴私钥
• 下载各种应用，应去官方渠道，所有应用商店有时也不可信（记住，是所有），存在虚假应用
• wallet签名时要谨慎，DeFi 协议和NFT交互重度用户，记得及时撤销授权，防止应用出现漏洞后导致资产被盗
• 不要随意点击别人发送的链接（短信），下载别人分享的文件，甚至一些kol的链接也不要随意点击，有可能含有病毒
• 一旦发现wallet有一点资产泄漏，应第一时间舍弃wallet，不要抱任何侥幸心理
• 不使用免费的VPN
• 紧跟新闻，实时了解新的被盗信息