imToken 錢包安全月報 7 期：什么會影響你的私鑰安全？_KEN

2022年9月20日，加密做市商Wintermute遭DeFi黑客攻擊損失1.6億美元。

據悉，Wintermute的被盜地址疑似由Profanity工具生成，而該工具早在2022年1月已有安全研究者確認其生成私鑰的隨機性存在安全缺陷。從第三方安全公司報告得知，黑客也正是利用這個安全缺陷暴力破解了Wintermute的私鑰進行資產轉移。?

請注意，如果你的錢包是用Profanity工具生成的，請盡快轉移資產至安全的錢包。

為什么隨機性會影響私鑰的安全？

私鑰本質上來說，就是一串由256個0和1組成的隨機數，共有2^256?種組合。就好比你拋硬幣，將正面朝上記為1，反面朝上記為0，拋一次硬幣都有2^1種可能性：0或1。拋兩次硬幣就有2^2種可能性：00，01，10，11。那么拋256次，就一共會有2^256種可能。

imToken前投資負責人Queenie Wu加入IOSG Ventures，成為其合伙人:7月29日消息，imToken前投資負責人Queenie Wu加入IOSG Ventures，成為其合伙人，Queenie曾任職于imToken（最早的非托管錢包之一，擁有1500多萬的用戶量），是其唯一的投資員工。她主導投資超過30個項目，涵蓋L1/L2、中間件、數據分析和Defi等領域，成為了Polkadot、Blockfolio、MatterLabs(zkSync)、Aztec、Aurora、Starkware、LayerZero、Nansen、Gelato、Defi Alliance等項目的早期投資方。

Queenie表示希望與IOSG一起攜手通過系統性的行業研究、資源網絡和項目運營經驗等為加密行業的創業者們提供更全面的幫助。

IOSG Ventures于2017年正式成立。迄今為止，已投資八十多個項目，涵蓋L1/L2、中間件、DeFi和Gaming等板塊。此外，IOSG筆耕不暇，撰寫了270余篇文章，累計閱讀量達百萬次；其Kickstarter Grant項目觸及了全球超過400個早期團隊；主辦或聯合主辦了50余次黑客松和見面會；還有每年都會舉辦的IOSG Old Friends Reunion（老友記），為行業從業者提供了亞洲最好的分享與交流的舞臺。[2022/7/29 2:46:15]

2^256是一個近乎無限大的數字，即便是以目前算力最強大的超級計算機來暴力破解找到某一個特定的私鑰，可能性也無限接近于0，但如果一些生成私鑰的工具算法存在缺陷導致隨機性不夠，如上文提到的Profanity，就會使私鑰的隨機性大大降低，增加黑客暴力破解的概率，從而威脅私鑰的安全。

imToken新版本支持自定義網絡，支持以太坊兼容和二層網絡:去中心化錢包imToken發布最新版本2.8.4，已支持自定義節點功能和EIP3085，其中，自定義節點功能可使用戶直接使用各種以太坊兼容網絡，包括xDai側鏈、Arbitrum、Optimism等Layer2生態網絡以及幣安智能鏈（BSC）、火幣生態鏈（Heco）。

EIP3085是一種方便用戶向imToken等錢包應用設置自定義節點的方法，方便用戶使用各種以太坊兼容網絡。[2021/3/24 19:12:51]

因此在管理數字資產時，所使用的私鑰是否足夠隨機非常重要。那么imToken是如何確保隨機性的呢？

公告 | imToken 宣布支持第四條公鏈 Cosmos:據官方消息，4月19日，繼以太坊、比特幣、EOS，imToken 宣布即將支持第四條公鏈：Cosmos，用戶在錢包內可以完成 ATOM 代幣轉賬收款、兌換 、Staking（質押挖礦）和提案投票等四大功能，成為全面支持 Cosmos 的一站式錢包。

這意味著 imToken 正式布局 PoS 公鏈生態 ，目前 imToken 的全球累計設備裝機量超過800萬。[2019/4/19]

imToken如何確保隨機性？

為了確保足夠的隨機性，imToken在Android和iOS系統使用的都是系統提供的隨機數生成器。比如iOS的熵來源是一段時間內系統發生的事件統計。由于系統的內核狀態是實時不同的，所以私鑰的隨機性有充分的保障。

imToken一直在行動

屏蔽TRX錢包域名名稱代幣

9月初，有用戶反饋TRX錢包內收到了若干域名名稱代幣，例如：365haxi.com。騙子利用這些代幣來誘導用戶進入對應的域名網址，并通過惡意授權獲取用戶的代幣轉賬權限，從而盜取用戶的資產。

imToken聯合Tronscan風控部門針對TRX錢包中的此類代幣，建立了一套完善的屏蔽流程，提交并屏蔽了370個域名名稱代幣，一方面提升了TRX錢包頁面的整潔度，另一方面避免用戶點擊進入對應釣魚網站從而損失資產。

安全警示｜相同尾號地址騙局

你是否也有轉賬時，復制交易記錄中過往地址的習慣？近期，騙子利用用戶的這個習慣，生成相同尾號的地址作為偽裝地址，并利用偽裝地址向用戶小額轉賬，使得騙子的地址出現在用戶的交易記錄中。

例如下圖：用戶經常轉賬的地址為「TUahsb…JjXyp3」，偽裝地址為「TSeqQh…sjXyp3」，它們有相同的尾號「jXyp3」。

若用戶從交易記錄中復制地址進行轉賬時，只核對了尾號，則很容易錯誤復制成騙子的偽裝地址，不小心轉賬后就會造成資產損失。

imToken團隊在此提醒大家：由于區塊鏈技術不可篡改的特性，鏈上轉賬一旦成功，則無法進行取消、撤回等操作，所以轉賬前請務必仔細核對地址！

安全風控

九月份，imToken共標記風險代幣25個；封禁風險DApp網站445個；標記風險地址600個。

詳見風控數據

另外，如果你發現了疑似風險的代幣或者DApp，請及時反饋給我們：，幫助更多用戶避免資產損失。

最后

安全真的是一個非常廣泛的話題，專業如私鑰隨機性，日常如轉賬習慣，稍有不慎就有可能導致資產的損失。那普通用戶能做什么呢？我想，應該是持續的學習安全知識和時刻具備防范的意識。imToken會持續輸出安全內容，傳遞給更多的用戶，用時間和堅持抹平信息差。

Tags：KENIMTTOKENTOKhardwaretokenimToken官方版下載COVIDTOKEN價格VANCAT Sperm Token

酷幣