最近有人给币圈某博主爆光TP钱包存在安全漏洞问题,目前已有2亿美元资产被盗走,借着消息数字币钱包,又爬回来吃个瓜。
可能有人对TP陌生,先在此先做一个简单介绍。
TP钱包,全称为TokenPocket。从18年开始运行,是深圳拓壳区块链公司旗下,自称为一款支持多币种、多底层、跨链交易的通用数字钱包,也是当前国内投资人使用较多的一款去中心化钱包产品。
官方宣称TokenPocket可支持EOS、BTC、ETH、TRON、IOST、Binance、Binance Smart Chain、BOS、Cosmos、MOAC、Jingtum链。
关于钱包中资产被盗的原因?——根据反馈者提供的消息来看,这和TP钱包支持的官方空投活动有关,导致TP用户损失2亿美金。
该次事件的发生,不少用户未支付gas,就出现资产被转移的情况。
目前TP钱包被盗的受害者已建立维权群,也有人在群里曝光了TP钱包的钓鱼方式。而这种方式在以前曾出现过,进行矿工费授权后就意味着免密支付,只要授权完成,用户在钱包上的资产就变「无」。
而在用户发现TP钱包出现被盗后,TP所属公司未发布任何公告,也未采取措施补救,甚至连道歉的痕迹都没有。
关于TP钱包被盗这个事情,先不提,就TP作为去中心化钱包,给加密项目做宣传,这就有点离谱!
其一,TP钱包对于首页推荐的项目,有着较为严格的审核流程,要求项目方必须有知名公司的审计报告,并要求进行公司或者个人的视频身份认证。
TP的要求如此之严格,那么导致用户钱包损失的空投是怎么被TP官方收录的?据知情人士爆料,虽TP钱包对于项目有一定的审核。然而有些别有用心的诈骗项目方可通过花钱通过,或者在视频身份认证过程中,提供虚假身份信息,也会予以通过。
花钱上币,是中心化交易所赚钱的方式,但自称为去中心化钱包,也能这样操作?不应该更中立,更干净吗?
由此可以说TP钱包官方的首页推荐项目这一点,是不合理、不合规的。
其二、关于「安全」的认知。
在此之前,有个叫Gainswap的项目,上了TP的首页推荐,也通过了链安的审计,最后凌晨跑路了!当时差不多卷了700万美元的资产就跑路了。也正因为Gainswap跑路这一事件,打破了此前许多被认为「安全」的认知,这也值得业内人士警醒。
当时Gainswap跑路后,为其提供安全审计服务的成都链安第一时间发出声明:
「据我司核实调查,Gainswap项目对外公示的安全审计报告是经篡改过后的。成都链安 安全团队于北京时间2021年5月21日完成了不包含后门的合约代码的相关安全审计工作;而该项目于北京时间2021年6月4日部署了存在后门的合约,并将已出具的安全审计报告中的合约地址替换为后门合约地址。」
意思就是,Gainswap项目方在提交了没有问题的合约代码,取得成都链安的审计报告后,实际上部署了含有后门的合约代码,正式通过这一后门,才会有项目方卷走了用户全部质押资产。
而正常的商业逻辑应该是,成都链安收取了Gainswap项目方的服务费用,为其提供审计服务,理应掌握项目方公司、人员情况以及付款银行账户,按照这样的途径去追查,违法犯罪分子将难以遁形。
但最终并没有什么,TP和成都链安的把关都没有用,Gainswap跑路后,大家约着发完公告,就没了。
这件事情还没过去几天,成都链安被通报出大事了。公司CMO高某挪用警方的钱炒合约亏空了三亿,成都链安就此落幕。
其三、就是TP钱包上存在很多「土狗」项目。
除了这次被爆出空投活动引发的钱包被盗的安全问题,之前TP也出现过不少DeFi跑路、归零的「土狗」项目。
比如今年一月时,TP曾有一个叫做「翡翠」的项目,上线后圈了上千万就跑了。
其四、TP钱包的安全性一直被质疑。
曾经有用户曝光过扫描二维码后,TP钱包中出现资产被盗的情况。
这个事情的发生,并非用户钱包私钥泄漏,TP钱包也没有什么安全漏洞。而是扫描的二维码看似为TP钱包的收款码,实则是一个钓鱼码。
用户在扫码后进入假转账页面,点击页面右上角,其实能看到上面显示该页面是由「huobi4.gzimtoken」提供。
用户按照要求进行此操作后,转账变成了授权,这和我们平时使用的「免密支付」功能有相似。只要你确认授权后,对方就不需要拿到你的私钥或者助记词,可直接使用转账权限。
对于这种钓鱼码的,要想防范很简单。
第一种是在钱包转账时,如果扫码之后页面右上角出现「…」,那么就代表这个页面是web页面,而并非钱包原生转账页面。这个时候就要立即退出,千万别再进行任何操作。
第二种则是直接复制对方的地址进行转账,而不是扫二维码转账。
之所以出现上面所说的问题,这和钱包的发行方是脱不了关系的。
因为一般出现转账的情况,都为空投活动、DeFi挖矿,都属于陌生人转账,且都为TP上推荐的某些项目。就像文章开头提到的NFT空投导致的钱包被盗一样,两者是类似的。
像这样免密支付的方式,要说是否存在漏洞,那肯定会有。但要说解决的办法,这只得去问TP钱包官方了。
TP钱包自称为去中心化钱包,却经常出现这样的中心化安全问题,真的是让人汗颜不已。还从18年持续到现在,真的需要自我反省一下,应该如何解决。
最后再借币圈博主的一句话来总结,TP钱包可能会有安全风险,这和其中心化的属性有关,远离TP,珍爱生命。
查看更多
—-数字币钱包
比特币代码的所有规则中很少会被尊为比特币生产的硬性限制。规定比特币2100万数量限制的代码将会在比特币的生命周期中发布。通过限制比特币能够被生产出来的总数量,中本聪可以创建明确数量的可用数据以及一种革命性成就。那么莱特币减半是什么时候? 随着莱特币通货膨胀的减慢,每天进入市场的莱特币会减少,这样玩家们手里的莱特币的价值...
闪电网络是Joseph Poon和Tadge Dryja在2015年提出的一项链下扩容解决方案。他们建议在比特币主链的基础上构建第二层交易网络,在这个网络中,交易双方可以建立一个支付通道数字币钱包,通过发送双重签名的交易信息来实现资产所有权的转移。 在POW(工作量证明)共识机制下,比特币已经安全运行了9年,在此期间,...
看看哪些值得投资的平台币?日前在香港举行的扩融世界BCH周年国际峰会上数字币钱包,比特大陆创始人吴忌寒表示:Token应该向持有者均分收益或风险,作出充分的信息披露,并且向所有持有者提供股息。并力挺火币、 okEx 、 币安 等平台币,认为平台币一方面向持有者保持经济收益,另一方面发行方通过回购或者燃烧token,实现...
来自推特的消息,周六加密货币交易所 币安 的平台币 Binance Coin(BNB)价格创下历史新高,超过了于2018年1月创造的24.46美元的历史最高价,TRON基金会创始人兼首席执行官孙宇晨发布推特祝贺币安CEO赵长鹏。 在推特中,孙宇晨写道,热烈祝贺币安和赵长鹏突破历史最高价!无论牛市还是熊市,我们的价值最终...
BSV飙涨200%数字币钱包,EOS母公司为投资者带来65倍收益,昨晚,一则关于美国版权局承认澳本聪CSW为比特币白皮书作者的消息传出,引发社区热议,bsv的价格也一度从六十美元上涨至最高195美元,涨幅达200%,现维持在100美元上下。 我们来简单了解事情的经过: 昨晚,Coingeek发文称:比特币的创造者CSW...
Powered by 购宝钱包 @2013-2022 RSS地图 HTML地图
网站统计——