wechat315-3.png

自 18 年 3 月以「用户支持」的身份加入 imToken,我一直在这个岗位上帮助用户。工作职责也由用户常规问题处理升级为用户常规问题+安全事件处理。

两年间,我接触了 10w+ 用户,由此更加了解区块链行业和数字钱包的用户,也更坚定了我在这个行业深耕下去、帮助更多人的信念。

比私钥丢失、泄露更危险的事

如果在两年前你问我使用去中心化钱包最危险的操作是什么,答案一定是「私钥丢失、泄露」(助记词等同于私钥)。因为这会直接导致资产损失,很难追回。

但现在的我会回答:

「用户的盲目与不理智是比私钥丢失、泄露更加危险的事情。」

被盗用户往往无法理解「imToken 是安全的,那么为什么我会被盗呢,我是怎么被盗的」。刚接手安全事件处理的我也疑惑「为什么他们(被盗用户)不能妥善保管私钥、助记词」。在多次一对一深入交流后,我收获了这个问题的答案。所有发生安全事件(丢币、被盗币)的用户都有以下共性:

  • 不理解「私钥」的重要性
  • 认为自己的资产由 imToken 保管,即使出问题也可以找 imToken 追回
  • 没有基础的信息安全意识、安全常识
  • 抱有侥幸心理,认为自己不会运气差到被盗

他们常说「我哪里懂,都是朋友介绍我玩的」、「他们说这个能赚钱,我就搞了」,像是误入现代社会的古代人,用原始人的眼光看这个日新月异的世界。这样,由于保管不善导致私钥丢失、泄露从而发生钱包安全事件也就不足为奇了。

你可以不了解「矿工费如何计算」、「中本聪是谁」,但是一定要牢记「私钥代表着对资产的控制权,在任何情况下都不能丢失、泄露,否则会损失你的资产」,这是使用去中心化钱包必须牢记的原则!

假的去中心,它真的会跑路

我一直很难理解「生活远比故事精彩」,但是在经历了 MGC 钱包跑路事件后,我深以为然。

2019 年 6 月有用户反馈,一个名为 MGC Token 的软件借着 imToken 的旗号在虚假宣传拉人头,是一个传销项目。收到反馈后,安全部门立即进行了调查,并判断:

  • MGC Token 虚假宣传与 imToken「一键互通」,并试图以此证明他们是去中心化钱包
  • 而他们实际是中心化钱包,用户的私钥全部存在他们的服务器中,一旦跑路用户将损失惨重
  • MGC Token 在宣传中提到的「智能搬砖」、「一键理财」、「分级推广」全部为噱头,类似于之前被警方抓获的 PlusToken
  • MGC Token 项目存在巨大风险,建议在 imToken 中将其代币标记风险

根据调查结果,我们确定将 MGC 代币标记为风险币种,以此来警示用户。而正当我以为一如往常地又「解救」了一批用户,沉浸在个人英雄主义氛围中时,现实却一巴掌拍醒了我!

我们的邮件系统在 6 月 4 日开始受到了持续「轰炸」,清一色的是 MGC 用户在质疑、责备我们 :

Snipaste_2020-03-15_10-52-11.jpg

以往经历中,我接触过在收到风险提示后来求证咨询的用户,也接触过感谢我们帮助他避免入坑的用户。但是这种为传销、诈骗项目激烈辩解的行为还是第一次见到。

事实证明我们判断正确,十天后, 6 月 14 日,MGC Token 跑路了,它跑路了!!!

这让我喜忧参半。喜的是相信 imToken 的用户在看到我们的风险提示后有足够的时间退出骗局;忧的是那些「执迷不悟」的用户以后的生活是否正常顺利。

在经历了标记 MGC 风险 → 被部分用户误解 → 诈骗项目跑路这一系列事件后,我深深认识到打击骗局从来都不是一件简单的事,其中有误解和质疑,但下一次,我们仍会义无反顾地揭露骗局。

能把你骗到去工地搬砖的「套利骗局」

我们揭秘过「搬砖套利骗局」。但是近期,我们又发现了这个骗局的新型手法。

前两天一个用户提问「我用 ETH 在电报群里买了 HT,第一次转到交易所成功了,但是当我买了更多的 HT 以后,转账却失败了,我是被骗了吗」。

我查看了他的地址,发现里面有假 HT,断定这又是一个受害者。不同于之前的假 HT 受害者,这个用户非常确定「第一次买到的 HT 确实能充值到交易所,但是第二次就不行了」。

我直觉有一丝异常,和他再次沟通后,重新查看了他的地址,地址上确实没有真 HT 的交易记录,而只有假 HT 的。但是为什么第一次转账成功了呢?难道...是交易所出问题了,又或者是用户出现了幻觉?

可这些猜测都不切实际。梳理思路后,我在区块浏览器中又一次仔细查看了他的所有交易记录,终于搞清楚骗子如何给受害者营造「第一次转账成功」的错觉:

  • 用户将 ETH 转到骗子的地址换假 HT,此时骗子知道了用户的地址 A
  • 用户将换来的假 HT转到自己的交易所充值地址 B,这时骗子通过区块浏览器也查到用户的交易所充值地址是 B
  • 监测到用户向地址 B 充值假 HT 后,骗子同步向 B 转入相同数量的真 HT
  • 用户在自己的交易所账户看到 HT 充值成功,然后放下戒心用更多的 ETH 去兑换假 HT

完成场景重现后,我惊出一身冷汗,骗局又升级了。

我们可以揭秘骗局 A、B、C,但是用户很难防范升级骗局 A+、B+、C+。我没办法打一个响指就让所有骗子回到正途,但是我可以告诉每一个用户不被骗的秘诀——别贪,别懒,向往财富没错,但要脚踏实地!!

写在最后

加入 imToken 的这两年,我做的每一件事都在不断拉近与用户之间的距离,让我们能够更加了解彼此,互相信任。我们常说用户教育是目前阶段最重要的事情,也深刻了解这件事的难度。因为它不只是单纯的知识普及和概念讲解,在其中,你要看透复杂的人性,相信善良的人心。

「我的愿望是守护每一个用户。                                

                                                                           ——imToken 小胖」

---

最后,今晚 19:30 我会与 Cobo 用户支持负责人 Bob,和你聊聊区块链钱包服务用户的那些事儿一起,与大家进行更深入的交流,如果你对「用户安全」这个话题有疑惑,欢迎在互动环节提出你的问题,我在区块链 315 - imToken 安全「局」 等你。

image3.png

如果你想了解更多关于 imToken 的内容,可以扫描下方二维码并备注(公众号)添加 imToken 小哥哥 or 小姐姐微信号。关注朋友圈,第一时间了解 imToken 最新动态和活动资讯。

image4.png