2018-04-23

如果你看好区块链的未来，认可通证经济，那就应该会认可数字货币时代终会到来，区块链技术改变的是商业经济模型，未来每个人手上可能会有各种token，那作为一名数字资产用户，如何更好保护自己的数字资产安全问题？今天我们来聊聊钱包的那些事，首先了解下什么事中心化钱包、去中心化钱包的，二者的区别？

通俗的讲像银行卡、支付宝、微信、互联网支付平台等属于中心化钱包；imtoken、比特派等属于去中心化的钱包。

去中心化钱包有几个特点：首先私钥是用户自持，当然密码也是用户自持，其次呢，资产是存储在区块链上，而不是托管在中心化的服务器上，然后目前也无需实名认证，即可生成钱包，生成钱包的成本也很低同时，无法实现“账户冻结”、“交易回滚”等操作。

中心化钱的特点，开立银行卡、互联网平台上有注册登录这样的功能，通常要实名登记、设置密码，而非私钥，如果用户忘记密码，可以到银行柜台变更，还可以通过注册的邮件或者手机号，得到找回密码服务局。

但是目前上述提到的服务，在去中心化钱包中是不存在的。这使得去中心化钱包有一个好处就是，很难遭受黑客的集中攻击，用户也不用担心钱包服务商出现监守自盗的情况。

钱包安全的本源是「防盗」「防丟」，我们所有的安全策略其实都是围绕这两点展开，我这边之前曾经提出了一个钱包安全 10 不原则，具体内容是：

1. 不使用未备份的钱包

2. 不使用邮件传输或存储私钥

3. 不使用微信收藏或云备份存储私钥

4. 不要截屏或拍照保存私钥

5. 不使用微信、QQ 传输私钥

6. 不要将私钥告诉身边的人

7. 不要将私钥发送到群里

8. 不使用第三方提供的未知来源钱包应用

9. 不使用他人提供的 Apple ID

10. 不要将私钥导入未知的第三方网站

我认为只要普通用户确保以上几点，举一反三，那么就足可以确保你的钱包是安全的。

2.区块链媒体群：比如之前有用户发现在imToken钱包中可通过在ETH名字前增加空格，以此来仿冒真的ETH，并且这种伪造的ETH会显示到钱包的交易记录中，但实际上并没有真的进行ETH交易。面对这种问题，imToken该如何解决？

Simon：前段时间的确出现了这样的现象，不光出现了假冒的 ETH，还有假冒的 BTC 等一系列其他重名的代币，因为以太坊上可以运行智能合约，工程师消耗极低的成本，就可以发行代币，并且在以太坊上发行代币，唯一标识并不是 symbol，也就是我们所看到的 token 的名称，而是合约地址。

ETH 本身并不是 ERC20 标准的代币，但是发行在以太坊上的假冒的 ETH ， BTC 代币，却是 ERC20 代币，这些我们通过像 Etherscan 这样的区块链浏览器，一看便知哪些是真的 ETH，哪些是假冒的 ETH。

imToken 是去中心化钱包，我们的服务器会自动识别用户收到的或新添加的代币，并没有像交易所那样的审核每一个代币项目，然后陈列在资产列表中。

但是我们团队内部也讨论过这个问题，有些拥有欺骗性，误导性或者带有不正当词汇的代币名称的代币，我们会自动去识别，并向用户标记出来，提示用户这个代币可能存在风险，进而帮助用户。

但是另一方面，也希望用户自身提高对于区块链数字资产的认知，切莫贪小便宜吃大亏，我之前听说了一件事，有一个人在以太坊上发行了一个叫 BTC 的代币，也就是假冒的比特币，然后在部分社群里传播，说自己有 BTC 打折出售，比市场价格便宜 80%，通过这种手段欺骗了不少人。但是其实我们大多数人都知道，比特币和以太坊是不同的链，真正的比特币是不可能通过以太坊钱包转账的。

3.区块链媒体群：用户转账期间偶尔输错一个字母或者数字，这种情况下一般能否找回自己已经转出去的数字资产？

Simon：这个是不能的，这也是区块链不可逆的性质，用户的交易一旦广播到区块链网络上，那么就处于等待矿工打包的状态，矿工打包成功之后，就代表交易成功了。

客户端是没有办法将交易回滚的，这是我上边谈到的去中心化钱包的一个特性。除非双方通过链下沟通解决，也就是线下找到收款人，沟通协调，但是因为区块链又具有匿名性，所以几乎是不可能找回已经转出去的资产的。

4.区块链媒体群：目前已经支持EOS映射了吗？

Simon：是的，我们在 1.4.2 版本已经支持 EOS 映射了，打开 imToken ，首先选择你有 EOS 的钱包地址，然后点击 "发现" 频道里的 "Candy Bar"，就会看到 EOS 映射功能。

这里有一点需要注意的是，用户完成映射之后，一定要保管好 EOS 私钥! 因为如果 EOS 的私钥丢失，那么就意味着你当前钱包所映射的 EOS 资产将在 EOS 切换到主网之后全部丢失。

imToken 在帮助用户完成映射的时候，做了非常贴心的一点就是，我们将 EOS 私钥做了"四位字符分割" 这样的设计，方便用户抄写备份私钥。

5.区块链媒体群：讲一些你们自身的一些数字资产安全经典案例？

Simon：首先我上边提到了钱包安全的本源是「防盗」和「防丟」，我也会从这两方面讲述一些经典案例，首先先说丢币的事件，丢币无外乎四种情况：

1. 没有备份

2. 备份遗失

3. 忘记密码

4. 备份错误

没有备份这种情况，相信大家都知道，在使用去中心化钱包的时候，第一件事就是备份私钥! 其实我想讲的一个案例是，曾经有一个北京用户，他联系我说，他把私钥备份在两部手机中，但是两部手机都掉进大海里，并且找不到了，里边有价值大概几十万的资产，问我该怎么办。

我问过他，使用的是什么手机，有没有开启云备份，有没有用物理介质备份助记词。他说使用的是安卓手机，并且没有开启云备份，也没有抄写助记词。这是典型的备份遗失的案例，这个案例中，首先他不应该将备份存储在手机设备中，这是第一个危险点。

其次，他的备份过于集中，很容易出现丢失的情况，如果手机被盗，或者损坏无法开机怎么办，他没有考虑到。最后，他没有用物理介质，也就是手抄助记词保管，这可以说是目前最安全的备份方式，使用 imToken，如果你想修改钱包密码以及交易密码，也是需要助记词导入，重新设置密码的。

还有我向大家解释一下什么是备份错误，备份错误分为两种情况，一个是钱包备份目标错识，另一个是备份抄写错误。

第一种情况是说，我有两个钱包，分别是 A 钱包和 B 钱包，我的 A 钱包有数字资产， B 钱包没有数字资产，但是当我想备份 A 钱包的时候，却错误的备份了 B 钱包的私钥，因为钱包地址是一串 42 位的哈希值字符串，普通用户很难辨认，难免粗心大意，所以很容易出现这种情况。

第二种情况是说，我在备份当前钱包的时候，将助记词或者私钥抄写错误或者不清晰，导致后续导入钱包时，无法找回之前的钱包。

曾经有一个60多岁的老大爷，把他的助记词拍照发给我，说他的助记词输入之后提示错误，按理来说我们团队是有规定的，不能向用户索要私钥，也不能看，但是老大爷的家人说他很着急，一定让我帮帮忙，找回来，我就把单词给他核对一遍，发现基本都抄错了，当然最后这件事完美解决了，我也让他立即换了钱包。

其实这两种情况很好解决，我们只需要在每次备份之后，再进行一次二次验证，重新导入备份的钱包，验证一下有效性即可。

下面我再分享一些被盗币的案例，被盗的案例大体上，分为两种：一种是监守自盗，第二种就是职业黑客作案。我首先给大家讲两起监守自盗的案例：广东深圳，有一个女性用户，有一天给我打来电话，告诉我他当时价值大概 3 万左右的数字资产被盗了，通过沟通，我发现有几点线索，首先当事人告诉我，她其实是一个普通家庭主妇，很少和外界沟通，大多数时间都在家里。

其次，她觉得自己不懂数字资产，怕自己忘记私钥和密码，所以将私钥告诉了自己的家人，让其帮助保管。

还有就是，她当时被盗的资产并不是很多，价值不足 3 万人民币，我觉得很难遭受黑客的集中攻击，因为黑客攻击她的成本，远远高于 "收益"。

并且通过 Etherscan 上地址查询，我发现这个盗币人盗取了他的资产过后，并没有立即 "销赃"，而是放在一个新的地址里边没有动，出现这种情况无外乎两中心理：

1.这个人很懂市场行情，最近行情不好，不想卖；

2.盗币人是身边人作案，怕打草惊蛇。我很快排除了第一点嫌疑，所以最后所有 "矛头" 都指向了她身边的一个人，也就是她的亲妹夫；

当然最后这件事也妥善解决了，她和家人一起，找到她的妹夫，深谈了一次，她的妹夫也主动承认，并且将代币还给了她。

另外一起监守自盗的案例来自广东东莞，一个用户电话告知我，被盗了大概价值 100 万人民币的数字资产，通过电话沟通，他告诉我，他的备份是在自己一台断网的电脑上，设有密码，除了他自己之外，别人没有可能进入他的电脑。

但是他告诉我他身边了解数字资产的人很多，大家都清楚的知道彼此账户之间大概有多少代币。我又通过查询地址发现，这个人的作案手法很低端。

同时也出现了创建一个新地址，将盗取的代币转入之后，并没有立即"销赃"这种情况。再综合其他的线索，我当时告诉他，有可能是身边人作案，他一口咬定绝不可能，身边都是值得信赖的人。

后来通过一些列调查，同时这个当事人也很配合我，将他身边朋友的地址收集起来给我，通过对比发现了确实是一个他已经认识了四年的朋友盗取了他的代币。

后来，这个盗币人讲述了他的作案手段，原来是和当事人一起吃饭的时候，当事人曾经当众备份过助记词，他在不经意之间拍了照，又等了一段时间，才盗取了他的数字货币。

如果不是盗币人讲述了他的作案手法，当事人本人都很难记起这样的事情经过，可以说，作为数字资产持有者，我们不能掉以轻心，要时刻保持安全警觉，有时候可能一个很小的疏忽，就会造成不可挽回的损失。

针对于专业的黑客攻击，我还是先给大家分享一下，目前出现的比较多的黑客攻击方式：

第一种攻击方式是"钓鱼网站"。这是一种比较常见的作案手法，黑客会模仿一些知名钱包网站，交易所，项目官网，域名也极其相似，比如将后缀从标准的.com 变成.cn 或.io，或者改变某一单词样式， a 改为 e，或者加上一个点。

最可怕的就是黑客支付了足够的费用，让他们的恶意链接排名高于他们所模仿的网站的正确版本，这样我们使用搜索功能所查到的网站，很大可能就是钓鱼网站。降低这种攻击方法的有效方式就是，将这些常用网站，经过仔细确认之后加到我们的浏览器书签里。

第二种攻击方式是"社会工程攻击"。这种攻击方式比较"耐人寻味"。黑客会冒充社区中某个知名人士，或者冒充比如 imToken 的官方人员，向你索要代币或者私钥。我曾经接触过一个案例，这个黑客冒充区块链社区中某个知名人士的微信号，黑客竟然模仿这位知名人士朋友圈半年之久，每一条朋友圈发的时间，发的内容都是一模一样的，微信号也非常相像，所以当他冒充别人，向用户索要代币的时候，别人一时间也很难判断。

但其实这样的攻击手段，主要是利用人性的弱点，只要我们时刻保持警觉，切勿贪图小利，还是会避免的。当然，我们可以使用微信备注这样的功能，来预防上述发生的事件。

第三种攻击方式是供应链攻击。供应链攻击是指黑客将已篡改或被植入木马的应用程序提供给用户，从而侵入用户系统获取信息的手段。

像众多未授权的第三方下载站点、云服务、共享资源，破解的盗版软件等等，都可能存在供应链攻击，所以我们一直建议，大家在下载 imToken 的时候，一定要从我们官方推荐渠道，或者官网上下载产品。

同时，有些购买硬件钱包的用户，也要注意这一点，不要购买二手硬件钱包，或者从不知名网站、商家那里购买硬件钱包，很容易被别人留了"后手"。

最后一种常见的攻击方式是中间人攻击。这种攻击方式常见于对硬件钱包或更改计算机或手机的操作功能，例如复制粘贴。黑客会监听你的操作，比如你当前想发起一笔ETH的转账操作，你复制了目标钱包的地址，但是当你粘贴的时候，可能地址就变成黑客的地址了，在你不知不觉中，被黑客 "偷梁换柱"。

当然以上我讲述的集中攻击方式并不是独立的，黑客经常会采用组合式攻击方法。我最近发现了一个黑客，将第一种攻击方式和第二种攻击方式配合使用，来骗取用户的私钥。

黑客冒充 imToken 客服人员，提供客服服务，然后诱导用户进入钓鱼网站，输入私钥。我在这里重申一点， imToken 团队人员，不会以任何理由向用户索取私钥，用户也不要主动将私钥发送给我们的客服人员。

6.区块链媒体群：刚看到imToken正在进行2.0公测，与1.0版本最大的区别是什么？

Simon：首选呢，先纠正一点，我们是 imToken 2.0 国际版进行公测，因为一直以来， imToken 是立足于全球的数字资产钱包品牌，我们目前有超过 30 % 的用户来自于海外。

然后接着你所提到的问题，这次 imToken 2.0 国际版并不同于以往的版本升级，对于所有的 imToken 用户，乃至于我们团队来说，这是一个 ”质的飞跃”。

大家都认为比特币是区块链的 1.0 模式，以太坊是区块链的 2.0 模式，那么相较于此， 1.x 版本的 imToken 就是去中心化钱包的 1.0 模式，只具有管理私钥，发送交易等基本功能。但是 2.0 国际版的想象力和创造力已经摆脱 1.x 版本的局限性。

从安全角度来讲，前乌云社区 CTO Blue 的加盟，让我们对于产品的安全性提高更有信心。

用户体验方面，我们新版本设计更加人性化，交互也更加流畅。功能性方面我们增加了数字身份，闪兑功能和基于 0x 协议的原子币币兑换功能等等。

在这里我要着重介绍一下我们的闪兑功能，我们的闪兑功能是基于 Kyber 协议的，用户可以使用该功能迅速实现币币兑换，例如使用 ETH 兑换 KNC 代币。

我们在公测期间，也联手 Kyber Network，为大家带来了"玩转闪兑功能，赢取 KNC 空投奖励" 这样一个活动，该活动持续 6 周，每周我们都会评选该周活动，交易量排名的 Top5，送出大量 KNC 作为奖励，并且在活动结束后，我们会有一个总的活动交易量排名，再送出丰厚的奖励。

2018-04-23

推荐阅读更多精彩内容