每个加密货币用户最为关心的问题,是数字资产安全。近期,关于imToken扫码被盗的讨论,有所增多。身为区块链安全研究员,我觉得,有必要把事实搞清楚:绝大多数号称“钱包扫码被盗”的事件,并非imToken自身存在漏洞,而是用户掉进了社会工程学攻击所设的陷阱。本文会对这类诈骗的手法以及防范措施,展开深入分析。
imToken扫码为什么会被盗
具备安全性的扫码功能本身,问题却出在了恶意二维码方面,攻击者精心制作冒充DApp授权页面的假冒物或者伪造空投活动,用以诱导用户扫描二维码,用户扫描后,是在自身完全不知情的状况下签署了一笔授权交易,这一授权很可能把用户某些代币的操作权转移到攻击者手中,他们后续就能凭借这个授权把用户资产转移走,整个过程中,imToken只是执行了用户“同意”的操作指令 。
带有恶意性质的二维码所产生的危害,是绝对不能被小看轻视的。进行攻击的人借助制作虚假假冒的 DApp 授权页面,或者伪造空投活动的方式,以此来吸引用户去进行扫描。只要用户进行了扫描,那么就会在自己完全没有察觉到的情况下,签署授权交易,最终促使代币操作权被转移给发起攻击的人。发起攻击的人凭借这个授权,去转移用户拥有的资产,而 imToken 仅仅是按照用户“同意”的指令来执行相关操作,这样一来就会让用户的资产面临相应风险。
如何识别扫码过程中的陷阱
识别陷阱关键之所在为始终维持高度警惕,其一,要决然杜绝扫描来源不明的二维码,尤其是在社交媒体上大肆宣扬的像“领取空投”或者“免费挖矿”这类的链接。其二,当开展扫码操作之后、执行具体实操之前,imToken会弹出交易确认窗口,这时务必得万分细致地核对请求授权的合约地址以及权限范围。要是请求的是无限额授权,那么所面临的风险是极其高的。
最终,针对任凭哪一个要求你去连接钱包且开展签名行动的陌生站点,均理应维持最为高级别的怀疑姿态。
资产被盗后应该怎么办
一旦发觉资产出现异常转移情形,首要举措便是立刻将剩余资产转至一个全新的、从前从未用过的钱包地址,这是由于旧地址具备的授权,极有可能未被攻击者完全利用。
在第一步做完之后,紧接着就要去到以太坊区块链浏览器那儿,在其上认真地查询被盗的交易记录。从这些记录里头找到被授权的恶意合约地址,随后试着借助Revoke.cash之类的工具去取消授权。最后一步是好好地保存好所有的交易哈希记录,然后向相关的执法部门去报案。要清楚明白的是,由于区块链有着匿名性以及不可逆的特点,所以追回资产的可能性是特别低的,因此预防远比补救重要。
在您针对数字资产所施行的安全管理里面,您最为频繁采用的是哪一种办法来对一个DApp或者项目的安全程度予以验证呢?欢迎于评论区域分享您的相关经验哦,要是感觉本文具备助力作用,请毫不吝啬地进行点赞以及转发呀。
转载请注明出处:imToken官方网站,如有疑问,请联系(imtoken)。
本文地址:https://zz.njztb.cn/imgwzxbxz/2337.html