大家都在用的虚拟币交易平台推荐:
- OKX(欧易)>>>进入官网<<< >>>官方下载<<<
- Binance(币安)>>>进入官网<<< >>>官方下载<<<
关于LCS钱包用户资产被盗的重要安全提醒
近日,imToken安全团队接到用户邮件举报,称其钱包内的ETH资产遭到恶意盗取。我们立即对相关被盗地址展开了调查分析,并发现了一个关键共同点:所有被盗地址均是通过LCS钱包创建或管理的钱包地址。
为了进一步查明盗币手法,我们搜索了关于LCS钱包的相关信息,并与部分被盗用户取得联系。综合各方信息,具体情况梳理如下:
- 用户下载并使用LCS钱包生成助记词,或在LCS钱包中导入已有助记词。
- 在生成或导入助记词的过程中,这些关键信息以明文形式被存储至LCS钱包的服务端。这表明,LCS钱包实质上是一款中心化钱包,而非其宣称的去中心化钱包。
- 随后,用户可能会将使用过LCS钱包的地址导入到imToken或其他去中心化钱包中进行管理。然而,由于助记词仍存储于LCS钱包的服务器中,该地址资产始终面临被随时盗取的风险。
- 安全团队发现,所有从LCS钱包泄露的资产,均被有规律地转移至同一个特定的盗币地址。
紧急应对措施与建议
基于以上分析,imToken安全团队在此紧急提醒所有LCS钱包用户:
请立即停止使用任何通过LCS钱包管理(包括生成或导入)过的地址。您应当在imToken等可信的去中心化钱包中生成全新的钱包地址,并将资产安全转移至新地址。对于已经遭受资产损失的LCS钱包用户,请尽快携带相关证据前往当地公安机关报案。
imToken安全团队追踪到的相关资料
为协助社区识别风险并配合调查,以下是我们追踪到的部分关键信息:
- 盗币主地址:0xeba337eeedf030f88a7b0066ec137638f9355189。值得注意的是,该地址盗取的每笔ETH金额相对较小,且目前仍有大量未打包交易等待上链。
- 异常交易行为:地址 0xeba337eeedf030f88a7b0066ec137638f9355189 曾在17小时内完成了超过12,000笔交易。目前,该地址仍有大量未打包交易。由此可以推断,盗币者可能掌握了数万个被盗钱包的私钥,并正在通过程序进行自动化的非法盗币操作。
- 资金流向:从该盗币地址共有4笔转出的交易记录,可用于追踪被盗资产的最终流向(可点击查看具体交易记录)。
- LCS合约地址:0xe62e6e6c3b808faad3a54b226379466544d76ea4。
- 中心化风险确认:LCS钱包作为一款中心化钱包,会存储用户的助记词,这与其对外宣传的去中心化属性严重不符。
技术分析:LCS钱包如何收集用户私钥与助记词
从技术层面来看,判断一个钱包是否会收集用户的私钥或助记词,一个有效的方法是进行抓包分析,观察钱包应用是否将关键信息以明文或加密形式传输至其服务器。
以LCS钱包为例的抓包分析过程
我们对LCS钱包进行了实际测试,过程与发现如下:
- 下载安装LCS钱包后,其首页为“导入钱包”选项。我们导入了一组测试用的助记词,并点击确认导入。
- 在此过程中,通过抓包分析可以清晰地观察到,该钱包将助记词数据上传至以下接口:portal-api-v3.lcs.world/user/importWallet。
- 关键发现是:助记词和密码是以明文形式直接传输至服务器的。尽管目前服务端返回的结果提示“正在升级”,但数据已经上传至服务器。这警示我们,测试时切勿使用真实的私钥或助记词。
由此可以明确判断,LCS钱包用户的私钥和助记词,在用户一开始使用该钱包时,就已完全泄露。这构成了本次大规模资产被盗事件的根本原因。请广大用户务必提高警惕,妥善保管自己的私钥,并选择经过社区长期验证的、开源透明的去中心化钱包管理资产。
