imToken 被盗用户调查

最近, imToken 协助用户破获四起盗币案件， 这四起盗币案件都是用户泄露私钥造成的， 其中两起案件属于受害者周围的亲友 "监守自盗"， 另外两起案件是受害者主动告诉第三方私钥， 导致被盗。获得受害者许可后， 我们完全展示了这些事件， 希望广大用户从这些事件中吸取教训， 引以为戒。

2017 年 10 月 16 日, 广东东莞的用户发现自己发现了自己 100 多个 ETH 被盗, 在 imToken 在工作人员的协助下， 用户最终确认他的朋友偷了他的代币。用户回忆说， 备份钱包时， 这个朋友就在他身边， 不知道用什么手段偷他的私钥， 因为这位朋友归还了偷来的代币， 我们失去了联系， 没有具体的作案技巧， 但从理论上推测， 用户备份时，可以通过拍照等方式记住助记词。

类似的事件发生在 2017 年  8 月 24 日, 广东深圳用户发现自己的钱包被盗， 在与之沟通的过程中，我们发现， 用户为了防止钱包丢失， 把钱包的私钥密码告诉身边的家人， 通过这一点线索 “顺藤摸瓜”， 最后，用户的姐夫偷了他的代币。

2017 年 9 月 23 日, 我们收到了广东河源用户的工单， 通知我们工单 “你的客服， 把我的硬币转走”。收到消息后， 我们立即与被盗用户建立联系， 得知有人冒充了 imToken 客服人员, 索取他的私钥。通过被盗用户提供的盗币人邮箱， 我们找到了这个假客服， 并协助用户收回被盗代币。

2017 年 10 月 23 日, hack@consenlabs.com 在江苏无锡收到一封被盗用户的电子邮件， 通过沟通得知， 用户曾将私钥泄露给某知名小密圈的操作人员， 然后根据盗币地址查询和转账行为分析， 确定是这个人偷走了他的代币。当我问他为什么要把私钥告诉这个偷币人时， 他说当时因为转币不到账， 匆匆把私钥发给这个偷币人， 让它帮忙找出为什么转币不到账。

通过以上四起案件， 我们可以得出重要的结论 —— 不要告诉任何人私钥！ 并且 imToken 当官方客服人员帮助您解决问题时， 也不会向你要私钥。同时, 根据最近几起被盗案件， 我们也发现这些被盗者都被使用了 163 邮箱、QQ 或微信存储或传输私钥， 黑客也会采用 “放长线钓大鱼” 的方式, 资产不会立即被盗， 相反，等到有更多的代币转入， 或者当用户进行转出操作时， 黑客会立即窃取剩余代币。所以我们建议 imToken 用户开始自查， 确定是否有可能暴露私钥的危险操作， 一旦出现, 出于谨慎， 还是建议你换钱包， 并做好安全备份(抄写助记词，妥善保存在纸上；保存强密码 Keystore 到离线的 U 盘）。