必查客   2021-08-26

去中心化钱包TP被爆监守自盗，用户损失超2亿美元资产

最近忙着吃娱乐圈的各种瓜，已无心关注太多币圈的事情，没想到币圈又出新幺蛾子。

最近有人给币圈某博主爆光TP钱包存在安全漏洞问题，目前已有2亿美元资产被盗走，借着消息，又爬回来吃个瓜。

 

可能有人对TP陌生，先在此先做一个简单介绍。

TP钱包，全称为TokenPocket。从18年开始运行，是深圳拓壳区块链公司旗下，自称为一款支持多币种、多底层、跨链交易的通用数字钱包，也是当前国内投资人使用较多的一款去中心化钱包产品。

官方宣称TokenPocket可支持EOS、BTC、ETH、TRON、IOST、Binance、Binance Smart Chain、BOS、Cosmos、MOAC、Jingtum链。

关于钱包中资产被盗的原因？——根据反馈者提供的消息来看，这和TP钱包支持的官方空投活动有关，导致TP用户损失2亿美金。

 

 

该次事件的发生，不少用户未支付gas，就出现资产被转移的情况。

目前TP钱包被盗的受害者已建立维权群，也有人在群里曝光了TP钱包的钓鱼方式。而这种方式在以前曾出现过，进行矿工费授权后就意味着免密支付，只要授权完成，用户在钱包上的资产就变「无」。

 

 

而在用户发现TP钱包出现被盗后，TP所属公司未发布任何公告，也未采取措施补救，甚至连道歉的痕迹都没有。

 

关于TP钱包被盗这个事情，先不提，就TP作为去中心化钱包，给加密项目做宣传，这就有点离谱！

其一，TP钱包对于首页推荐的项目，有着较为严格的审核流程，要求项目方必须有知名公司的审计报告，并要求进行公司或者个人的视频身份认证。

TP的要求如此之严格，那么导致用户钱包损失的空投是怎么被TP官方收录的？据知情人士爆料，虽TP钱包对于项目有一定的审核。然而有些别有用心的诈骗项目方可通过花钱通过，或者在视频身份认证过程中，提供虚假身份信息，也会予以通过。

花钱上币，是中心化交易所赚钱的方式，但自称为去中心化钱包，也能这样操作？不应该更中立，更干净吗？

由此可以说TP钱包官方的首页推荐项目这一点，是不合理、不合规的。

 

其二、关于「安全」的认知。

在此之前，有个叫Gainswap的项目，上了TP的首页推荐，也通过了链安的审计，最后凌晨跑路了！当时差不多卷了700万美元的资产就跑路了。也正因为Gainswap跑路这一事件，打破了此前许多被认为「安全」的认知，这也值得业内人士警醒。

当时Gainswap跑路后，为其提供安全审计服务的成都链安第一时间发出声明：

「据我司核实调查，Gainswap项目对外公示的安全审计报告是经篡改过后的。成都链安 安全团队于北京时间2021年5月21日完成了不包含后门的合约代码的相关安全审计工作；而该项目于北京时间2021年6月4日部署了存在后门的合约，并将已出具的安全审计报告中的合约地址替换为后门合约地址。」

意思就是，Gainswap项目方在提交了没有问题的合约代码，取得成都链安的审计报告后，实际上部署了含有后门的合约代码，正式通过这一后门，才会有项目方卷走了用户全部质押资产。

而正常的商业逻辑应该是，成都链安收取了Gainswap项目方的服务费用，为其提供审计服务，理应掌握项目方公司、人员情况以及付款银行账户，按照这样的途径去追查，违法犯罪分子将难以遁形。

但最终并没有什么，TP和成都链安的把关都没有用，Gainswap跑路后，大家约着发完公告，就没了。

这件事情还没过去几天，成都链安被通报出大事了。公司CMO高某挪用警方的钱炒合约亏空了三亿，成都链安就此落幕。

 

 

 

其三、就是TP钱包上存在很多「土狗」项目。

除了这次被爆出空投活动引发的钱包被盗的安全问题，之前TP也出现过不少DeFi跑路、归零的「土狗」项目。

比如今年一月时，TP曾有一个叫做「翡翠」的项目，上线后圈了上千万就跑了。

 

 

其四、TP钱包的安全性一直被质疑。

曾经有用户曝光过扫描二维码后，TP钱包中出现资产被盗的情况。

 

 

这个事情的发生，并非用户钱包私钥泄漏，TP钱包也没有什么安全漏洞。而是扫描的二维码看似为TP钱包的收款码，实则是一个钓鱼码。

 

 

用户在扫码后进入假转账页面，点击页面右上角，其实能看到上面显示该页面是由「huobi4.gzimtoken」提供。

 

用户按照要求进行此操作后，转账变成了授权，这和我们平时使用的「免密支付」功能有相似。只要你确认授权后，对方就不需要拿到你的私钥或者助记词，可直接使用转账权限。

对于这种钓鱼码的，要想防范很简单。

第一种是在钱包转账时，如果扫码之后页面右上角出现「…」，那么就代表这个页面是web页面，而并非钱包原生转账页面。这个时候就要立即退出，千万别再进行任何操作。

 

 

第二种则是直接复制对方的地址进行转账，而不是扫二维码转账。

之所以出现上面所说的问题，这和钱包的发行方是脱不了关系的。

因为一般出现转账的情况，都为空投活动、DeFi挖矿，都属于陌生人转账，且都为TP上推荐的某些项目。就像文章开头提到的NFT空投导致的钱包被盗一样，两者是类似的。

 

像这样免密支付的方式，要说是否存在漏洞，那肯定会有。但要说解决的办法，这只得去问TP钱包官方了。

TP钱包自称为去中心化钱包，却经常出现这样的中心化安全问题，真的是让人汗颜不已。还从18年持续到现在，真的需要自我反省一下，应该如何解决。

最后再借币圈博主的一句话来总结，TP钱包可能会有安全风险，这和其中心化的属性有关，远离TP，珍爱生命。

 

免责声明

世链财经作为开放的信息发布平台，所有资讯仅代表作者个人观点，与世链财经无关。如文章、图片、音频或视频出现侵权、违规及其他不当言论，请提供相关材料，发送到：2785592653@qq.com。

风险提示：本站所提供的资讯不代表任何投资暗示。投资有风险，入市须谨慎。

世链粉丝群：提供最新热点新闻，空投糖果、红包等福利，微信：juu3644。