游说社区：200个ETH是怎么在imToken上没的？

7 月15 日，凌晨02:48，用户存放在imToken钱包上的195.55ETH不翼而飞。

纪元链（EBK）纪总将上币费预留在imToken钱包中的，在7 月14 日晚上22:00，准备转账显示不成功，在15日凌晨1：00断网休息。在15日清晨准备再次转账的时候，发现钱包内的资产全数被转走。在7月21日，纪总也是通过种种渠道联系到了imToken孙峰孙总。

以下是聊天内容：

imToken整个过程表达:本次ETH被盗事件和imToken无关，皆因用户私钥被泄露，并且无法追回。如果需要追查，可以先发工单找人查询具体过程。

根据当事人提供消息：手机是安卓的系统，品牌是联想MoTO手机，买来专门存放ETH的，平时不联网，只有转币的时候才联网几分钟。事发后把手机送到北京的一家著名网络安全公司检查，没有发现手机里有木马或者其他安全问题。私钥是锁在保险柜中，泄漏的可能性很小。 怀疑是 imtoken钱包有安全漏洞。

近年来以太坊被盗事件频发：

2017年7月19日,多重签名钱包Parity1.5及以上版本出现安全漏洞,15万个以太坊ETH被盗,共价值3000万美元。

2017年4月22日，韩国比特币交易平台yapizon成为了黑客攻击的最新受害者，该交易所的员工在社交媒体上发布通知，确认有3,831 BTC被盗，市场价约合500万美元。相当于该平台总资产的37.08%。用户将平摊所有损失。

2016年8月4日全球最大的数字资产交易平台之一Bitfinex被盗了价值超过6000万美元的比特币。

2016年6月17日，区块链业界最大的众筹项目TheDAO(被攻击前 拥有1亿美元左右资产)遭到攻击,导致300多万以太币资产被分离出TheDAO 资产池。

2014年2月28日，曾经世界规模最大的比特币交易平台运营商宣布，其交易平台的85万个比特币已经被盗一空，包括用户交易账号中约75万个比特币，以及Mt.Gox自身账号中的约10万个比特币。根据2014年2月28日的交易行情，损失估计约4.67亿美元。直接导致Mt.Gox破产。

区块链三加一根据本次黑客攻击盗币事件，可能是以下几种情况：

1. 个人私钥泄露

根据当事人反馈，私钥记录在纸上并锁在家里保险箱中，这种可能应该能够排除。

2. 私钥被黑客破解

黑客通过大量的哈希碰撞，从理论上来讲是可行的，但由于数对非常多，这种可能性非常小。

3. 使用软件的过程中被注入木马

手机是安卓的系统，品牌是联想MoTO手机，买来专门存放ETH的，平时不联网，只有转币的时候才联网几分钟。事发后把手机送到北京的一家著名网络安全公司检查，没有发现手机里有木马或者其他安全问题。该选项也可以排除。

4. 软件本身存在漏洞imToken

imToken 是一款移动端轻钱包 App应用，2017年02月14日上架 ICO DApp ，发布Melonpor，但并未没有开源源代码，所以不排除软件本身存在漏洞

5. 非官方渠道下载Imtoken泄露私钥

使用第三方提供的渠道下载 imToken

使用第三方提供的不可信的 Apple ID

由于区块链地址的匿名性等特征，资产被盗无从查起、无法追回，希望借由这件事情，唤起大家对自己的数字资产的重视。

下面，区块链三加一教你如何更好保护好自己的数字货币：

1、 不轻易安装APP应用程序

下载钱包时，请认准对应钱包的官网地址，不要安装来历不明的钱包应用。

2、 白纸黑字记下助记词

密码（及助记词）最好记录在心里，如果记不住就写下来，切勿截屏助记词保存在相册或连接网络传输或保存私钥(Keystore、助记词)，使用 QQ、微信等即时通讯软件传输私钥，千万不要随便泄露给别人。

3、 设置复杂的密码/备份好自己的钱包

4、 分批存放不同的钱包

大多数加密货币钱包是去中心化钱包，一旦发生意外，用户资产丢失后难以追回，倘若手里持有大量数字货币，分批存放不同的钱包更稳、更安全。量大的数字资产考虑用冷钱包保存。

5、 谨慎钓鱼软件中招

谨慎下载论坛、社群里的文件，不要点击来路不明的链接防止钓鱼软件中招，并且反复核对访问的域名网址是否是山寨网站。

6、反复确认转币对象和地址

交易是不可逆的，一旦打过去就是别人的了，所以在转账时要反复确认转币对象和地址。

7、防止手机中病毒、木马

身在区块链领域中难免要下载一些程序等，建议存储区块链资产的手机要与平时上网用的手机分开，以免被病毒、木马程序盗取密码和资产。

8、不要贪图小便宜

还要注意一些空投糖果的注册链接要核实无误后才点击注册，以免因小失大；量少的数字资产还是尽量存放在币一这样靠谱的交易所内，说不定还能收到糖果的意外惊喜呢。

9、交易所应对 USDT 充提漏洞更重视

2018年6月28日，有安全公司突然发表言论：提醒各大交易所尽快暂停 USDT 充值功能，并自查代码是否存在逻辑缺陷。

该安全公司报道，交易所在进行USDT充值交易是否成功时存在逻辑缺陷，未校验区块链上交易详情中valid字段是否为true，导致“假充值”，用户未损失任何USDT却成功向交易所充值USDT代币，而且这些USDT可以正常使用。

USDT因为其价值不受市场因素波动，固定锚定兑换美元，交易所常以它作为平台的基准币（法币），用户也可以在币圈预计低潮的时候，将其它代币转换为USDT，作保值处理。

经过成都链安科技分析，此次漏洞是因为，交易所可能没有对用户USDT充值交易进行确认，导致用户可能“假充值”，根本原因是再进行区块链Dapp开发时，对区块链接口开发理解不充分、没有做好严格安全把控。

10、EOS 假账号漏洞引起重视

如果 EOS 钱包开发者没对节点确认进行严格判断，比如应该至少判断 15 个确认节点才能告诉用户账号创建成功，那么就可能出现假账号攻击。

具体的漏洞攻击过程为：首先，用户使用某款 EOS 钱包注册账号（比如 aaaabbbbcccc），钱包提示注册成功，但由于判断不严格，这个账号本质是还没注册成功。其次，用户立即拿这个账号去某交易所做提现操作。最后，如果这个过程任意环节作恶，都可能再抢注 aaaabbbbcccc 这个账号，导致用户提现到一个已经不是自己账号的账号里。

成都链安科技专注区块链智能合约安全，但是安全无小事，无论是钱包、交易所安全，还是区块链智能合约安全、区块链平台接口使用安全或者平台本身的安全都非常重要。成都链安科技给出的建议是：轮询节点，返回不可逆区块信息再提示成功，具体技术过程如下：

1、push_transaction 后会得到 trx_id

2、请求接口 POST /v1/history/get_transaction

3、返回参数中 block_num 小于等于 last_irreversible_block 即为不可逆

不管在哪个领域，涉及安全性问题一直都是人们比较关注的。在区块链领域，安全挑战就更大、情况更为复杂。数字货币及token是目前区块链最主要的应用场景之一。区块链已成为利益高速流通的新兴领域，如果没有“区块链安全”为交易所、智能合约、数字钱包做好维护的话，区块链美好的数字世界生态图景都将是空中楼阁，区块链安全的革命尚未成功，我们还需继续努力