“你好,平头哥,我要曝光TP钱包有安全漏洞,目前已经有2亿美金资产被盗了”。
什么,去中心化钱包资产也会被盗?
没错,确实会,而且是TP钱包支持的官方空投活动,导致了用户损失了2亿美金的损失。
一个官方支持的空投活动,而且很多账户连燃料费用都没有,NFT就被转出。
下面是盗取用户资产的一些波场钱包地址:
目前受害者已经组建了维权群,其中有人也曝光了TP钱包的钓鱼方式。其实这种方式早就曾经出现过,矿工费授权意味着免密支付,只要授权,可能你的资产就没了。
问题发生后,TP钱包仍未发布任何公告,也未采取挽回措施,甚至连基本的道歉都没有。
上面的NFT官方空投导致用户TP钱包资产被盗,让平头哥很是诧异,这个TP钱包到底是不是去中心化的?他到底是什么来头?
TP钱包从18年开始运行,TokenPocket是深圳拓壳区块链公司旗下,自称是一款支持多币种、多底层、跨链交易的通用数字钱包,也是当前国内投资人使用较多的一款去中心化钱包产品。
针对于以上问题,平头哥整理了几点针对TP钱包的质疑。
TP钱包作为去中心化钱包,给虚拟币项目打广告,是否合适?是否安全?
原本TP钱包对于首页推荐的项目,有着较为严格的审核流程,要求项目方必须有知名公司的审计报告,并要求进行公司或者个人的视频身份认证。
既然是如此,那么这个项目空投是怎么被TP钱包官方收录的呢?
之前有知情人士爆过料,虽然TP钱包对于项目有一定的审核。然而有些别有用心的诈骗项目方可以通过花钱通过,或者在视频身份认证过程中,提供虚假身份信息,也会给与通过。
花钱上币,是中心化交易所赚钱的方式,但是去中心化钱包,真的也能这样做嘛?不应该更中立,更干净吗?
所以TP钱包官方或者首页推荐项目,是不合理,不合规矩的。
几个月前,有一个项目叫gainswap的项目,上了TP的首页推荐,然后也过了链安的审计,最后凌晨就跑路了,差不多是卷了700万美元的资产就跑路了。
GainSwap项目的跑路过程,突破了此前许多被认为“安全”的认知,非常值得引起业内警醒。
Gainswap项目跑路后,为其提供安全审计服务的成都链安第一时间发出声明:
据我司核实调查,Gainswap项目对外公示的安全审计报告是经篡改过后的。成都链安·安全团队于北京时间2021年5月21日完成了不包含后门的合约代码的相关安全审计工作;而该项目于北京时间2021年6月4日部署了存在后门的合约,并将已出具的安全审计报告中的合约地址替换为后门合约地址。也就是说,Gainswap项目方在提交了没有问题的合约代码,取得成都链安的审计报告后,实际上部署了含有后门的合约代码,正是通过这一后门,项目方卷走了用户全部质押资产。
从正常的商业逻辑来讲,成都链安收取了Gainswap项目方的服务费用,为其提供审计服务,理应掌握项目方的公司、人员情况以及付款银行账户,按照这样的途径去追查,违法犯罪分子将难以遁形。
但是事情往往就是这么巧的,TP钱包以及成都链安的审核都是废的,一点作用不起,问题出了以后,发个公告,就算完事。
这事过去没多久,成都链安爆出惊天大雷,该公司CMO高某挪用警方的钱炒合约亏空了三亿,链安就此落幕,TP还在。
上述问题也揭开了所谓的安全的审计公司和去中心化交易所,不过是笑话而已。
TP钱包上除了空投活动会引发的安全问题之外,还有Defi也出现过很多跑路的,归零的土狗项目。
今年一月份的时候,tp钱包里有个叫翡翠的项目,上线就圈了上千万跑路了。
TP钱包的安全问题一直曾被质疑,之前也有多次有人曝光过,用户因为扫描二维码转账,引发资产被盗。
用户的钱包私钥并没有泄漏,TP钱包也没有什么安全漏洞。
这个二维码看似是TokenPocket钱包的收款二维码,实则却是一个钓鱼码。
扫码之后会进入一个假的转账页,点击右上角的“…”,我们就会看到该页面是由“huobi4.gzimtoken”提供。
转账变成授权,这有点像我们用的“免密支付”功能。
意思很简单,就是你授权了该账户的转账,对方不需要拿到你钱包的私钥或者助记词,就可以直接拿到你的转账权限了。
那么如何防范这种钓鱼转账二维码呢?
在钱包转账时,如果扫码之后页面右上角出现“…”,那么就代表这个页面是web页面,而并非钱包原生转账页面。这个时候就应该立即退出,千万不要再进行任何操作。
当然,还有一个更简单也更保险的方法:那就是直接复制对方的地址进行转账,而不是扫二维码转账。
这样的转账问题,有很多人可能会问?跟TP钱包有没有关系。
平头哥可以负责任的告诉你,是有关系的,首先类似这种转账一般情况下都是空投活动,或者DEFI挖矿,都是陌生人转账,而且是TP上推荐的一些项目。
谁也不会无缘无故的给陌生人转账吧,就好像本文中那个NFT空投,也是类似这种骗局。
那这种免密方式是否存在漏洞,有没有解决的办法?如果没有,去中心化钱包何来安全性,区块链的意义又在哪?
TP钱包作为一个去中心化钱包,却屡屡被深陷这种中心化的安全问题,责任不小吧。
作为TP官方推荐的空投项目NFT出现问题,我觉得受害者应该积极去维权深圳那个公司,毕竟作为主体,应该为自己的行为负责。
同时,平头哥提醒大家,TP钱包的问题不会小问题,我之前就曾经在朋友圈说过,TP钱包可能会有安全风险,因为其中心化的属性导致。
因此,远离TP,珍爱生命,如果你身边仍有人在用TP,赶紧提醒他一下。
本篇文章来源于微信公众号: 蜜罐的观点