imToken 錢包安全月報 1 期：虛假網站猖獗，詐騙套路升級_TOKEN:Cryptocurrency Top 10 Tokens Index

虛假網站，如何判斷？

2021年5月29日，imToken用戶支持團隊接到一名珠海用戶的舉報，稱錢包內價值超過500,000USDT的資產被盜。安全團隊了解情況后得知，受害用戶是通過某度搜索，進入了虛假imToken網站，從而下載了假的錢包App，導致資產被盜。

順著該線索，imToken安全團隊發現騙子在某度上購買了「搜索關鍵詞」及廣告位，用戶無論搜索imToken，麥子或者是TokenPocket，甚至搜索MetaMask，搜索結果顯示排名第一至和第三的都是騙子網站(如圖1)，用戶在這些網站上，會下載到假的錢包應用。

某度搜索結果圖1

面對這樣的騙局，imToken安全團隊一方面聯系某度公司，下架騙子廣告，另一方面也主動聯系，在嘗試封禁這些網站的同時，也在不斷搜羅收集證據，從而幫助對這些不法分子實施抓捕。截至發稿日，雖然騙子廣告已經下架，可部分錢包虛假網站仍在，希望廣大用戶提高警惕，認準你所下載的錢包官網。

imToken 報告：2023 年新的錢包解決方案主要技術路線有多方計算、抽象賬戶和底層賬戶創新:金色財經報道，根據 imToken 發布的《2023 年加密錢包報告》，對加密用戶的問卷調研顯示，38% 的受訪者認為錢包不如交易所安全，65% 的受訪者表示了解智能合約錢包概念，51% 的受訪者愿意以支持多因素身份驗證提高安全性為由選擇新錢包，76% 的受訪者認為第三方托管方案比錢包更方便。

報告指出，2023 年，新的解決方案將圍繞如何處理密鑰繼續展開，通過使用不同的技術方案來幫助用戶添加、刪除、限制或更改賬戶的密鑰，或者為賬戶本身提供自定義邏輯以解決當前痛點，主要技術路線有：多方計算（MPC）、抽象賬戶（AA）、底層賬戶創新。[2023/2/9 11:57:16]

關于用戶對官網辨識度的調查圖2?

imToken將從11月11日起對imToken1.0系列版本停止服務:去中心化錢包imToken宣布將從2020年11月11日18:00開始對imToken1.0系列版本停止服務，停服版本包括imToken1.5.0及以下所有1.0系列版本。用戶需請盡快升級至imToken2.0。1.0系列版本在停止服務期間，用戶的資產不受任何影響，但用戶在導出錢包時仍需注意，若有不規范的操作，可能會帶來安全隱患。[2020/9/21]

在做好安全防范的同時，安全團隊也在試圖分析該類騙局。其實數字錢包或交易所假網站，是非常難以防范的，它在用戶了解數字資產的整個生命周期伊始，就構建了一個圈套。因為一般用戶剛接觸這個行業是處于非常「懵」的狀態，本身區塊鏈的認知門檻就比較高，在財富效應的催生下，部分用戶更是急于跨過認知期，直接進行數字資產購買。而對于新進行業用戶，錢包服務商、交易所、安全機構等之前所做的安全宣傳和用戶教育是觸達不到的。所以騙子利用這種「信息差」，對新進行業用戶形成了「吊打」的局面。

ImToken現已支持TRX質押并生成USDJ:據最新消息顯示，區塊鏈主流錢包imToken現已支持TRX質押并生成USDJ。JUST是在波場TRON上運行的第一個DeFi項目，旨在打造基于波場TRON的穩定幣借貸平臺，同時也是領先的數字交易平臺、交易量曾登頂全球Top3的Poloniex LaunchBase首期上線項目。JUST是一個雙代幣系統。第一個代幣USDJ是按1：1的匯率與美元掛鉤的穩定幣，是通過JUST的CDP門戶抵押TRX產生的。第二個代幣JST，可用于支付利息，平臺維護，通過投票參與治理以及JUST平臺上的其他活動。[2020/7/30]

不過作為錢包用戶，也不用「杯弓蛇影」，這里有幾個小技巧可以幫助防止此類騙局：

將常用網站添加到瀏覽器收藏夾內；多渠道了解比對項目信息：在了解一個項目的時候，可以先在公眾號、微博或Twitter等搜索信息，騙子維護多渠道的成本會比做一個假網站高很多。而這些渠道基本都會有真正的官網鏈接；請教身邊可信的人：在了解錢包的時候，一定要找對行業有基礎認知，且現實生活中熟悉的人，最好當面請教。不要在微信群或者Telegram等即時通訊應用里詢問，很容易上當受騙；虛假網站一般是非常粗糙的，比如多語言環境，虛假網站一般都不支持多語言，即便支持也是機翻直譯，無法做到官網的細膩；把上述方法或你認為有效的防騙知識，告訴身邊的朋友，構建「群體免疫」。騙術橫生，防不勝防

合規穩定幣HUSD正式上線imToken和Tokenlon:3月10日，合規穩定幣HUSD正式上線區塊鏈錢包 imToken，并在該錢包集成的去中心化交易所TokenIon上線 ETH/HUSD，imBTC/HUSD，USDT/HUSD，PAX/HUSD，USDC/HUSD，TUSD/HUSD，DAI/HUSD，BUSD/HUSD交易對。用戶可通過imToken錢包管理自己的HUSD穩定幣資產，并在 imToken app及TokenIon網頁端進行兌換。HUSD是由Stable Universal 發行的合規穩定幣，與美元1:1錨定。對應的資金由信托機構托管，并由專業公司每月出具審計報告。HUSD將不斷拓展在數字資產交易、支付及其他金融領域的廣泛應用。[2020/3/10]

除了上述詳細談到的虛假網站騙局外，最近還有幾種升級版騙局在危害錢包用戶：

Imtoken持有200億美元的Coinbase客戶資產:據Coinbase的一位發言人說，Imtoken的這款應用已經儲存了超過350億美元的密碼貨幣資產，其中包括超過200億美元的Coinbase客戶資金。[2018/6/5]

1.釣魚二維碼騙局該騙局主要手法為，假設用戶錢包內原有1000個USDT，騙子通過活動誘導用戶掃碼轉賬1個USDT，但后來發現剩余的999個USDT在沒有經過同意的情況下，就被轉走了。如果你想學習如何避免該類騙局，可以閱讀《安全提醒丨請警惕釣魚二維碼騙局》。2.空投誘餌騙局該騙局目前主要滋生在波場鏈上，以OZBT假空投為例，其主要表現形式為，用戶在錢包里收到空投代幣的同時也會收到其代幣信息，信息會告知你獲得的OZBT空投可以在其去中心化交易所中兌換價值不菲的TRX代幣。當你前往他們的交易所，嘗試進行兌換的時候，會發現進行的是TRX的轉賬，也就是扣款轉賬。該騙局主要利用用戶收到空投后，想嘗試無損兌換，但卻忽略了轉賬詳細信息，從而將錢包里有價值的代幣轉給騙子。這有點像傳統戲法里的障眼法。

騙子會利用空投做誘餌讓用戶授權錢包圖3

3.真假去中心化錢包騙局如果說虛假網站是誘導你下載假錢包，那么有些錢包則「放長線釣大魚」，把自己偽裝成去中心化錢包，利用其錢包發行代幣的增值作為誘餌，誘導用戶在錢包里創建或導入私鑰，同時將用戶私鑰上傳到服務器中。比較典型的騙子項目是LCS和MGC等。如果你想更多了解該類騙局，可以閱讀《警惕丨LCS錢包用戶請注意》。

魔道斗法，一直在行動

據imToken用戶支持團隊不完全統計，2021年1月至6月，imToken接到詐騙等舉報430起，相較于2020年上半年增長了35%。根據imToken安全團隊提供的數據，今年五月份，imToken共標記風險代幣6枚，封禁風險DApp網站54個，標記風險地址4個。同時為了應對高風險DApp騙局，imToken緊急發布2.9.2版本，升級DApp瀏覽器風控系統，可以閱讀《imToken2.9.2，DApp瀏覽器安全風控再升級》了解詳情。

雖然市場逐漸回歸到冷靜期，但余溫仍在，最近也有不少熱點可以去「追」。但imToken團隊還是一致認為應該把注意力放在安全這件事上，我們的運營小伙伴也按捺住一顆推廣業務的心，精心準備了「錢包安全周」活動，通過答題，直播，社區話題討論等形式，讓更多的用戶參與其中，了解最新騙局，避免更多人受災。點擊了解詳情，希望你可以分享安全周活動，關心身邊人。

最后，題外話，為什么要做「錢包安全月報」？

前文有提到，有些騙局在用戶剛進入這個行業的時候就產生了，還來不及找到「組織」，就被「拐走」了。任何一個項目的渠道都是有限的，能觸達的生命周期是從用戶「登陸」之后，這給騙局防范帶來了很大挑戰。許多剛剛接觸區塊鏈的用戶，因為騙局而喪失了信心，這對整個行業也是巨大的打擊。所以我們希望可以持續做一件事，滴水穿石，用時間和堅持抹平宣傳渠道的局限性。

imToken有上千萬的下載量，在這背后是龐大而真實的錢包用戶故事，我們身處一線，可以快速捕捉這類問題，一方面通過自身經驗幫助用戶解決，另一方面針對新型騙局，也可以反饋給社區，避免更多的用戶受災。無論你是哪款錢包的用戶，都可以從我們的月報中有所收獲。

所以，希望你在關注「imToken錢包安全月報」的同時，也把這份月報帶給身邊的人，帶給同處于區塊鏈圈子里的朋友。在錢包安全面前，沒有「大佬」，只有失去之后的追悔莫及。

如果你有任何關于錢包安全方面的案件和素材，歡迎發送到，也可以登錄https://imtoken.fans安全專題和我們一起構建錢包安全社區。

相關資料：

波場上的詐騙代幣

imToken5月風控數據

Tags：TOKENTOKKENTOKELifeLine TokenCryptocurrency Top 10 Tokens IndexTabTrader TokenO2 Token

Polygon