关于imToken这类去中心化钱包的资产安全之事, 用户寻常提出的疑问便是“我的资产是怎样被转走的”。我们得明确一个要点: imToken自身作为一款非托管钱包, 私钥全然由用户自己持有, 资产转移必定得经私钥或者助记词的签名授权。所以, 所谓的“被盗”, 核心缘由差不多都和用户自身的信息保管或者操作环境相关, 而非钱包程序自身存在后门。理解这一点, 是防范风险的首要步骤。
助记词和私钥是怎样泄露的
助记词与私钥乃是钱包唯一控制权的凭证, 一旦发生泄露, 资产转移便无法逆转 , 最常见的泄露途径涵盖以下几种: 用户惯于把助记词截图保存至手机相册 , 而若手机相册被恶意应用读取 , 或者在通过iCloud、Google Photos等云服务同步之际被第三方获取 , 私钥就会径直暴露 ;另一种情形是用户把助记词录入到钓鱼网站或者假冒的dApp里 , 这些网站借助伪造的授权页面诱使用户录入助记词 , 进而达成盗取。
在使用存有安全漏洞的浏览器,或者操作系统去访问钱包时, 信息也有被键盘记录器, 或者剪贴板劫持程序给窃取的可能性。部分用户因要图“备份”的便捷, 甚至于将助记词放置在微信聊天记录里, 或者是备忘录当中, 而这些行为极大地提升了泄密的风险因子。所以, 最为安全的做法便是运用物理途径, 像是钢板、防火纸之类的, 进行离线保存助记词, 并且要保证从来没有在任何联网设备里输入过此类助记词。
授权和签名操作中有什么陷阱
许多资产丢失并非因私钥直接泄露, 而是在用户进行授权或者签名操作期间发生, imToken能让用户与各种去中心化应用交互, 然而一些恶意dApp会扮作正常项目, 向用户请求“授权”或者“签名”操作, 用户一旦点击确认, 实际上就给予了该dApp无限转移你特定代币的权力, 这种授权通常不会耗费你的ETH主币, 所以很难在第一时间发觉。
是“盲签”风险, 这属于另一种常见情形。用户直接签署一笔交易时, 并不具有对交易内容的完整理解, 该笔交易兴许涵盖调用合约转移资产的指令。特别是针对非以太坊主网上的合约而言, 操作界面有时无法清晰呈现所有细节, 致使用户在毫无察觉的状况下授权了恶意操作。建议用户在进行授权之前, 认真核查交易详情中的“spend limit”那一项或者“approve”字段呀, 尽可能把授权额度设定成当下所需的最小值, 且在用完之后及时撤除不必要的授权。
转载请注明出处:imToken官方网站,如有疑问,请联系(imtoken)。
本文地址:https://wsjj.njztb.cn/imgwzxbxz/6700.html