(原文标题:《公告:针对近期社区反馈 imToken 存币被盗的事件说明》)
近期有用户反馈, 在使用 imToken 时发生了被盗币的状况, 针对这样的事件, imToken 第一时间做出响应, 和被盗用户及时建立联系, 尽可能为用户提供帮助。根据用户向我们描述的内容和所掌握的情况, 客观的分析来看, 这些被盗用户都具有以下危险操作, 包括:
截屏助记词保存在相册
使用邮件传输或者保存私钥 (Keystore、助记词)
使用 QQ、微信等即时通讯软件传输私钥
登录钓鱼网站, 泄露自己的私钥
使用第三方提供的渠道下载 imToken
使用第三方提供的不可信的 Apple ID
将私钥泄露给身边的人, 被身边的人盗窃
而针对近期部分社区传播的 "因为 imToken 产品有 bug, 从而导致用户资产丢失" 的言论, 我们做了安全自查和数据分析,结论是:没有 imToken 系统或客户端 bug 引发事故。根据目前所掌握的被盗用户的样本数据分析来看, 被盗用户应用版本、区域和手机设备等信息都是离散的, 并未出现被盗样本信息集中的情况, 所以不可能是应用出现问题, 从而被黑客利用, 出现集中攻击的情况, 相信有技术背景的用户, 应该明白。
也在这里和广大用户说明,imToken 是去中心化钱包,由用户自己保管自己的私钥,imToken 不会存储用户的私钥。用户的代币是存储在区块链网络账本上,只有掌握私钥的人才能控制,而不是 imToken 的服务器上。换句话说,钱包 Keystore、助记词、明文私钥被泄露了,偷盗者的权力和主人是一样的,他可以通过其它钱包工具或纯代码的方式转移资产。这也是为什么受害者来联系我们,但有些我们也无法提供偷盗者足够线索的原因,imToken 在很多情况下也是 "有心无力"。
我们非常清楚,钱包安全除了技术保障之外,更为重要的是用户的安全意识和对新产品模式的理解,这也是为什么我们顶着压力上线「风险测评系统」。我们希望通过知识普及和能力考察,尽量去降低悲剧的发生。
如果被盗情况发生, 我们一定会尽其所能, 帮助用户提供一些线索。同时我们也建议现在正常使用的 imToken 用户, 对自己的私钥保管方式进行一次彻查, 在做好备份的同时, 也要检查一下备份的安全程度是否达标, imToken 关于钱包安全管理也写过很多文章, 我们将在公告末尾附上链接。另外关于 imToken 下载方式, 一定要通过官方渠道下载 https://token.im/ ,不要使用百度搜索到的地址或第三方途径下载。
最后,为了更好的协助被盗用户,如果您发现您的资产被盗,请第一时间发送邮件到 hack@consenlabs.com ,详细说明事情经过,并注明被盗钱包地址和电话联系方式,我们会安排专人优先处理。
imToken 团队
2017年10月18日
来源:imToken
