两日前,有朋友在微信群内求救,原来是他朋友的Imtoken钱包被盗了,丢失了大约20多个以太坊,用他的话说,那是「他朋友的身家性命」。被盗的过程大概是:黑客用钱包中的LRC代币(路印币)去退币,然后把退回的以太坊转移到了自己的账户。由于区块链地址的匿名性等特征,资产被盗无从查起、无法追回,希望借由这件事情,唤起大家对自己的数字资产的重视。
当时听说以后,大概了解了一下这位朋友的情况,基本的情况大概是Imtoken可能是从百度搜索获取,钱包安装在自用的安卓手机里,钱包的私钥保存在电脑里。钱包被盗的风险点大概有几个:
第一,Imtoken可能不是官方版本,有可能是通过在百度里搜索的被黑客篡改过的版本;
第二,安卓手机因为是平常自用的,可能下载了很多软件,又加上长时间暴露在网络里,手机可能被黑客入侵;
第三,私钥在电脑里保存,电脑可能被黑,进而私钥被盗。
其他的可能也都存在,比如钱包的私钥被周围的人获取了,手机和钱包的密码被周围的人知道了,等等。
通过以上的案例,提醒大家引以为鉴。手机钱包一定要下载官方版本,也就是说最好去苹果商店和安卓商店下载官方版本,有些官网直接提供离线下载包(例如,Imtoken官网提供apk离线安装包),但是有些只提供了谷歌商店的地址,这里由于某些众所周知的原因,安卓手机可能需要爬梯子才能使用谷歌商店,而苹果手机用户则可能需要一个美区账号才能下载官方钱包(不用爬梯子)。
这里假设你不会爬梯子上外网,给大家一点小技巧,那就是安卓商店的软件有相对靠谱的第三方下载平台,这种平台一般就是把软件的官方版本从谷歌商店里下载之后,放到网站上供别人离线下载安装使用,这种网站有的也需要梯子,但是有些还是可以直接访问的,这里推荐两个网站供大家使用。
https://apkpure.com (需要梯子)
https://apps.evozi.com/apk-downloader (不需要梯子)
假设你想下载jaxx的官方版本,那么你就可以去官网jaxx.io找到谷歌商店下载链接,然后,你复制了这个链接,到apps.evozi.com这个网站里,粘贴上官方的地址,就能离线下载钱包的apk安装包了。这个小技巧,同样可以应用于你下载任何安卓的官方软件。
再来说说苹果手机,苹果手机就更简单了,只需要切换到国外的商店就可以搜索下载。很多人都有美区的AppleID,你去找别人借一个一般就可以了,又或者你去淘宝买一个,也是几块钱的事儿。或者你嫌贵,那就自己去注册一个外国的账户也可以,网上这方面的教程也很多,不再多说。
好了,说完了下载软件,再来说说钱包软件的管理,如果你的钱包里有大量的币,建议你单独找一个新手机专门用来做钱包,而且离线保存,尽量不要联网,只在你需要付款的时候才联网最好。最后,也是最关键的,一定要保管好自己的私钥和密码,否则一旦弄丢,你就丧失了对区块链资产的控制权。
来源:玩转区块链