出品/Blockeye
文编/宝藏女孩、菜头小子
提到imtoken丢币问题,还得从八月份的 DEX 说起,圈内人也应该都知道imToken DEX其实在8月18日之前, 几乎是没有多少用户在使用的;但是也不知道为什么,8月18日之后,imToken的数据却呈现了异常的暴增状态。恐怕能在币圈靠短时间内暴增的交易所,扳着手数也找不到一家。
而imToken做到了,还宣传自身用户量暴增424%,并且一举成为了以太坊 DEX 排行榜的第一名;其还并进行了大量的宣传报道。
但根据比特派对 imtoken DEX 区块链上的交易记录的检索,认为imtoken DEX 中99%的日活和大部分交易量都是假的。比特派创始人兼CEO文浩笑称:他们造假挺简单的,甚至连道弯儿也没拐。
为了求证imtoken 是否作假交易的数据,区块天眼也特地跑去询问了圈内比较知名的安全公司,证实如果相关数据信息一旦经过自己的服务器,储存是肯定的,即使不储存,相关公司也能在网络请求过程中拦截且查看用户信息。
也就是说imtoken 的安全性很可能是存在漏洞或作假的,但还需大家与小编一同锊一下以下消息的真实性~
01
imtoken搬砖套利
据全球数字资产安全追踪平台CoinHunter反馈,前段时间有用户提交丢币事件反馈称遭受imtoken“交易回滚”诈骗。
且钓鱼账号创建假的imtoken官方电报群并充当官方技术人员身份,引导“搬砖套利"被骗用户在指定网站输入私钥进行所谓“交易回滚”操作进行二次诈骗。
目前该电报群内人数已达68000人,已有诸多用户遭遇“搬砖套利”及“交易回滚”诈骗。而该问题也恰恰反映了imtoken对于用户的信息存在监守自盗,利用用户的信息进行无耻的诈骗割韭菜。
02
DEX交易数据造假,交易所被指“乌托邦”
前不久,有用户在某微信群里指出,imToken DEX在发布的上周交易数据中表示,其DEX交易量与用户量双第一。然根据小编追溯发现,其实在imtoken DEX 中99%的日活和大部分交易量都是假的;且存在的交易数据大部分也是作假伪造的。
而对于这种去中心化交易所,圈内人大多表示“不看好”。
比如节点资本创始人杜均在接受媒体采访时表示,个人不看好DEX,也不会投资DEX,DEX只会成为小众产品,类似乌托邦,看似美好但是无法实现。中心化交易所的高效、优质服务以及品牌不会让我选择DEX。
而针对于imToken DEX数据造假一事,小编认为原本去中心化交易所就存在安全方面的问题;但是imToken却顺势而为的就做了下去,对待用户极度的不真诚,这样的imToken是不值得用户们去信任的。
03
用户资产一夜蒸发
今年五月,一名来自海南的炒币玩家江先生,在4月27日的凌晨2点多,自己没有对imtoken进行任何操作的前提下,发现自己账户里的USDT等币种被系数转走,损失近3万元,现在账户里只剩下不到10块钱的资产。
发现异常的江先生立即联系了imtoken的客服,并提供了被转出地址。客服告知他的币已经被转去了火币,需要联系火币冻结对方的账户。
而火币则说应该让imtoken的团队报警,就在火币与imtoken的踢皮球过程中,黑客已经成功变现了。
(火币方回复)
(imtoken方回复)
江先生意识到事情的严重性,很快报警,然而在配合警方调查期间和立案之后,不知道imtoken是否因为涉案金额太小而没有放在心上,全程也没有提供任何帮助和证明,仅仅靠几封邮件打发了用户。那么江先生损失27780元人民币就这么打了水漂?imtoken在被追问责任时表示:我们是去中心化钱包,对用户的资产没有控制权。
然而对于近七万用户来说,出现丢币情况恐怕也不是个例, 而让人疑惑的是,imtoken钱包是否足够安全呢?
04
imtoken钱包安全性存疑
首先,我们先用安卓抓包针对imtoken进行分析,这个imtoken是否真的去中心化,不存储用户任何信息,通过导入一个EtH 私钥进行测试。
导入私钥
输入密码,当然为了隐藏身份,我们在图中打了马赛克
(请求地址
https://mainnet-bizapi.token.im/rpc,该地址是IMtoken的服务地址之一。HTTP请求header信息如下图所示)(header关键字段,authorization: Token eyXXXXXXXXXXXXXXXX,应该是某些参数加密后的产生的,而具体是什么加密算法,我们尚不知晓。)
HTTP请求body信息如下,箭头为测试的地址如下图所示:
其中http 的请求 header 和 body有什么作用呢?
其实就是把数据传递出去,要不怎么能导入你的资产,那么,其中的数据究竟传递给了谁?我们来看看到底请求了那些URL地址。
从中我们可以得出,所有涉及IMtoken钱包的地址都与token.im有关,而从这几个地址起来看,imtoken都没有将私钥发送出去,这是否意味着,imtoken没有对用户的私钥密码等进行存储,钱包是安全的?
那么imtoken又是如何导入我们的钱包的呢?是真的去中心化,还是自有神奇之处,然而,最关键之处在于,我们上面所说的HTTP header里面的参数 ,特别是authorization字段 ,该字段里面是通过别的header信息,body信息,和私钥进行了加密,所以不能直接看到私钥。
当把authorization等信息传递到IMtoken钱包服务器上面以后,通过authorization,别的header信息,body信息解密出私钥等密码,从而导入用户钱包。
据之前imToken安全团队收到用户邮件举报,钱包中的ETH被恶意盗取,经分析,所有被盗地址均是使用MGC钱包创建的钱包地址;再加上近期imToken的所作所为来看,imToken存在跑路作弊的动机。
且以目前币圈的行情来看,imToken钱包是很难盈利的,更可况从数据抓包来看,用户的密码登信息是经过imtoken服务器的,也就是说用户们的数据要经过他们自己的服务器。
用户们的数据经过交易所自己的服务器会存在什么安全问题呢?区块天眼的小编特地跑去询问了圈内比较知名的安全公司,证实如果相关数据信息一旦经过自己的服务器,储存是肯定的,即使不储存,相关公司也能在网络请求过程中拦截且查看用户信息;也就说明了用户的信息在imToken是极度的不安全,随时都有被泄露和丢币的危险。
那么,从用户角度出发,imtoken钱包若真的用心保护用户密钥,为什么还有频繁的丢币现象呢?恐怕只有imtoken自己知道了吧。按照币圈常有的割韭菜惯例,在这样的局势下imToken很有可能最先利用用户的信息进行割韭菜,最后消失于币海。
imtoken以“你的第一个智能数字钱包”打入市场,从市场惨淡到一夜爆火,尽管依然有人将希望寄托于去中心化钱包。
然接二连三的案例无疑就是在给用户们敲着警钟,imtoken到底是在实行去中心化之路,还是在走币圈镰刀的老路,我们尚不知晓,唯一知道的,就是币圈水深,万事谨慎。