imKey 學院
imKey 公告
查看所有 篇文章公告| imKey 新增支持 Dogecoin 钱包
为了满足用户需求并拓展对更多加密货币的支持,我们很高兴地宣布,imKey 硬件钱包在 imToken 2.16.3 版本中,正式新增对 Dogecoin(狗狗币)钱包支持。
关于 Dogecoin
Dogecoin(狗狗币)是由 Billy Markus 和 Jackson Palmer 于 2013 年推出的加密货币,起初以轻松幽默的方式回应比特币等主流加密货币的兴起。它的标志性形象来自网络流行的柴犬表情包,并迅速获得了大量忠实用户的支持。尽管最初并没有设定明确的用途,但随着时间的推移,狗狗币逐渐成为了一个广泛接受的数字资产,并且得到了特斯拉 CEO 埃隆·马斯克等公众人物的支持。
添加 Doge 账户
- 请确保你的 imToken 版本在 2.16.3 版本及以上。
- 请确保你的手机蓝牙已成功连接到 imKey 硬件钱包。
- 打开 imToken,依次点击「我」-「钱包管理」,选择配对的 imKey 硬件钱包,进入「imKey 管理」页面。
- 点击「应用管理(可添加/升级币种)」-选择「DOGE」-点击「安装」。
- 若需批量添加多个账户,请点击账户右上角的三个点,选择「高级模式」。
重要提示
- 在使用 Dogecoin 钱包功能前,请确保你的 imKey 固件已更新至1.9.05 最新版本。关于固件升级的详细信息,请参见 imKey Manager 使用指南中的 COS 升级说明。
感谢你对 imKey 的支持与信任,我们将继续努力为你提供更丰富的功能和更优质的服务。
如有任何问题,可及时联系 imKey 客服 ( support@imkey.im)获取帮助。
imKey 团队
安全提醒:警惕社会工程攻击骗局
「小额资产用热钱包,大额资产用冷钱包」是数字资产管理的最佳实践。使用硬件钱包(一般为冷钱包)可以使私钥等重要信息始终不联网,从而显著提高资产安全性。因此购买硬件钱包管理数字资产成为对安全有较高需求用户的首选。但在实际购买和使用硬件钱包的过程中,仍有一些需要注意的事项,避免安全防护功亏一篑。
imKey 发现存在非官方授权店铺在京东、拼多多等线上商城出售「已激活」的 imKey 硬件钱包的现象,此情况存在被社会工程攻击的可能,有较大欺诈风险。正常情况下,硬件钱包设备应为未激活状态,即首次使用 imKey 时,激活设备、创建钱包、备份助记词和设置 PIN 码均应由用户自行完成。
什么是社会工程攻击?
社会工程攻击是指攻击者利用人类的社会工程学原理,通过欺骗、伪装、诱骗等手段,让受害者主动或被动地泄露机密信息或进行某些操作,从而达到攻击目的的一种攻击方式。
通过进一步了解和调查,imKey 发现部分非官方授权店铺在售卖「已激活」硬件钱包的同时,篡改使用说明书,诱骗用户将资金存入被作恶商家提前创建的钱包地址中。
imKey 已联系各平台官方客服反馈此情况,并积极协助警方调查此类事件。同时,请通过非官方店铺购买 imKey 硬件钱包的用户注意:
如何自查
首次使用 imKey 时,务必确认自己操作以下关键步骤:
- 激活设备(激活不可逆,每台设备只激活一次)
- 设置并备份 PIN 码和绑定码
- 创建并备份助记
如果以上步骤并非你自己操作,则存在较大的受欺诈风险,请务必警惕:
首次使用 imKey 的具体教程可查看 imKey 官网( https://imkey.im ) 帮助中心的操作教程《imKey 与 imToken 首次配对绑定教程》
同时,也可以通过官方设备验证渠道(https://imkey.im/zh-hans/pages/imkey-verification )对产品进行全方位验证。包括
- 外观检查:重点是检查说明书,凡提前创建 PIN 码的,均存在风险
- 设备激活状态检查:输入 SN 码可查看设备的激活时间,新设备应提示「设备尚未激活」
如何处理
- 将可能存在风险的钱包地址中的资产转移至其他安全地址
- 如有任何疑问,请通过官方邮箱 support@imkey.im 与我们联系
如何安全购买 imKey 硬件钱包
为确保产品品质以及售后服务质量,请通过官方渠道购买。目前,imKey 官方提供三种购买途径:
-
有赞商城:如果收件地址在国内,可以通过官方有赞商城购买,产品会通过顺丰快递在国内配送,配送速度快且安全可靠。
https://j.youzan.com/S0w1J1 - 亚马逊店铺:如果收件地址在海外,可以到亚马逊 imKey 官方店铺购买。亚马逊是全球知名的电商平台,购买和配送都非常方便。(认准 Seller: IMKEY CO.,LTD.)
- Amazon US
- Amazon JP:
-
官方网站:如果收件地址在海外,也可以通过 imKey 官方网站购买。
https://store.imkey.im/
请注意,只有通过官方渠道购买的 imKey 产品才能保证你的资产安全,同时还能享受官方售后服务。如果从其他渠道购买,我们无法保证产品质量和售后服务。
关于 imKey
imKey Pro 硬件钱包在行业内首先采用 CC EAL6+ 安全芯片,提供用户最高级别的安全保障,同时也是行业内率先采用蓝牙方式连接的硬件钱包,操作便捷,简单易用,在应用端,深度集成 imToken,可无门槛的体验 imToken 支持的各种应用,历经多年的市场验证,imKey Pro 已获得了用户和行业的广泛认可。
我们深知,用户的积极反馈是打击非授权店铺欺诈行为的关键。因此,我们诚挚邀请广大用户积极参与,如发现非授权店铺或疑似欺诈行为,请通过以下方式举报:
- 举报邮箱:support@imkey.im
- 举报内容:请提供非授权店铺的名称、网址,以便我们迅速核实并采取行动。
公告 | imKey 新增支持 Taproot、Native Segwit 地址及 PSBT 签名
我们很高兴地宣布,imKey Pro 现已支持以下新功能,以提升用户体验和资产管理的灵活性:
1. 支持 Taproot 和 Native Segwit 地址格式账户管理
imKey Pro 现在支持 Taproot 和 Native Segwit 地址格式账户:
- Taproot:新交易协议,旨在提高隐私性和效率,允许通过合并智能合约条件简化交易,降低数据大小和费用。
- Native Segwit:采用更高效的交易编码,降低交易费用,提高网络吞吐量,用户可享受更快的确认时间和更低的手续费。
此次更新后,imKey Pro 支持以下四种比特币账户类型:
- Legacy 地址(P2PKH),以数字 1 开头
- Nested SegWit 地址(P2SH),以数字 3 开头
- Native SegWit 地址(P2WPKH),以 bc1q 开头
- Taproot 地址(P2TR),以 bc1p 开头
👉 如需了解更多详情,请访问我们的支持页面:
2. 支持 PSBT 和 BIP-322 签名
imKey 现已支持部分签名交易(PSBT)和 BIP-322 签名协议:
- PSBT(Partially Signed Bitcoin Transaction):允许多个参与者对同一笔交易进行签名,而无需交换完整交易信息,灵活管理复杂交易,适用于协同签名或多重签名钱包。
- BIP-322:提高比特币交易的可互操作性和安全性,允许在多个钱包之间以一致的方式处理签名,减少错误和不兼容风险。
我们致力于不断优化 imKey Pro 的功能,以满足广大用户的需求。imKey 默认采用 Taproot 格式生成 BTC 账户,若需创建其他类型账户,请在创建界面点击 BTC 图标右上角的三个点,进入高级模式选择。
感谢您的支持与信任!
imKey 团队
imKey 声明
近日,安全研究机构 NinjaLab 实验室发布了一份关于 EUCLEAK 侧信道攻击的研究报告(点击查看详情),报告指出,某些使用特定安全微处理器(英飞凌 SLE78 系列安全芯片)并搭载特定内置加密算法库的设备,可能更容易受到此类攻击的影响。
imKey 团队对此高度重视,并在第一时间进行了全面评估与分析。在此,我们郑重声明:imKey Pro 硬件钱包不受 NinjaLab 报告中提到的 EUCLEAK 漏洞的影响,imKey 用户的加密资产始终安全。
澄清事实:
-
imKey Pro 不使用 Infineon 加密库,无潜在风险
根据 NinjaLab 的报告,EUCLEAK 攻击仅针对使用 Infineon 安全芯片及其内嵌加密库的设备。imKey Pro 采用的是由飞天诚信自主研发的加密库,与 Infineon 的加密库存在显著差异,已明确不存在报告中提到的漏洞(详见 NinjaLab 报告第 7.2.2 节和第 7.6 节)。
-
飞天诚信加密库符合国际安全标准
飞天诚信自主研发的加密库已通过 NIST FIPS 140-2 认证,这意味着其符合全球严格的安全标准,确保用户资产的安全。(更多信息请参考飞天诚信的官方声明)
我们的承诺
安全性始终是 imKey 的核心价值。我们承诺为用户提供最安全、可靠的加密资产硬件钱包。未来,我们将继续关注最新的安全研究和技术报告,确保 imKey 在硬件钱包领域保持领先地位。
我们感谢用户一如既往的信任与支持,并将持续提升产品和服务,保障用户资产的安全。
如有任何组织或个人散布不实信息,试图损害我司形象或相关产品的声誉,我司将保留依法追究其法律责任的权利。
IMKEY PTE.LTD.
2024/09/20
imKey 正式支持 Rabby Wallet 插件钱包
摘要
imKey 现支持连接 Rabby Wallet,确保用户在 PC 端安全地进行转账和 DApp 交互。
imKey 现已经支持连接 Rabby Wallet 插件钱包。imKey 作为一个硬件钱包,通过与 Rabby 的协同使用,用户可以在 PC 端方便地进行转账、交易和 DApp 交互等,同时确保私钥在 imKey 中安全、离线地保管。
Rabby Wallet,作为一款开源的 PC 端插件钱包,提供流畅的多链体验,支持 140 条 EVM 兼容链和测试网。此外,Rabby 还支持所见即所得的签名预览功能,减少在 DApp 交互中的盲签风险。
imKey,作为一款广受用户信赖的硬件钱包,配备了 CC EAL 6+ 安全芯片,具有绑定码和 PIN 码等安全设置,并支持多种代币。imKey 通过离线真随机生成和存储私钥,为用户管理代币提供了一个安全的环境。
当用户将 imKey 硬件钱包与 PC 端的 Rabby 钱包连接后,便可以在 Rabby 上发起交易,并通过 imKey 硬件钱包进行离线签名。整个过程通过 USB 数据线连接,仅用于传输签名信息,私钥等敏感信息不触网,确保离线安全。imKey + Rabby 的冷热钱包组合,为用户在使用 DeFi 和 NFT 等各种 Web3 场景时提供了便捷和安全的解决方案。
关于 imKey
imKey 是一款高安全性的硬件钱包,为用户提供区块链安全产品及解决方案,最大化确保代币安全。成立于 2018 年,它采用 CC EAL 6+ 安全芯片,保障私钥安全,同时支持多种代币。imKey 提供了一系列安全产品,包括硬件钱包和密钥盒等,与 imToken 钱包深度集成,为全球用户提供可靠的数字钱包管理服务。
关于 Rabby Wallet
Rabby Wallet 是一款专为以太坊和所有 EVM 链设计的钱包。
- 专为 DeFi 用户设计,提供流畅的多链体验。
- 交易前提供风险扫描和安全警告,保护用户代币。
- 在签署交易之前,展示即将发生的余额变化。
imKey 严正声明
摘要
购买 imKey 硬件钱包,请务必认准官方渠道。
近日,我司发现有不法分子假冒我司授权经销商,在京东、淘宝、抖音等电商平台以及微店等渠道开设未授权店铺,使用各种手段引诱用户至其欺诈店铺,销售已经激活过的硬件钱包,搭配篡改过的使用说明诱骗用户存入资金进行盗窃。这些行为严重损害了我司的声誉和合法权益,同时也严重威胁了受害者的资产安全。
我司关于此事的严正声明
- imKey 硬件钱包的业务主体为 IMKEY PTE. LTD. ,官方授权 “杭州融识科技有限公司” 在中国大陆销售 imKey 产品。
- 我司官方推荐渠道:
-
- imKey 官方网站:https://imkey.im
-
面向中国大陆地区用户的官方购买渠道为有赞商城:https://j.youzan.com/S0w1J1
- 使用微信小程序时,请搜索并访问「ConsenShop」。
- 面向国际用户的官方购买渠道:
对 imKey 购买及使用有任何疑问,请联系 imKey 官方邮箱:support@imkey.im 或直接提交工单。
- 为确保用户权益,购买 imKey 硬件钱包务必认准官方渠道。非官方渠道进行的销售活动不受我司认可和保护。
- 任何未经授权使用我司名义从事商业活动的个人或单位,应立即停止行为,我司将保留追究其法律责任的权利。
我司致力于提供安全、可靠的密钥管理系统,保护用户的数字资产安全。我们将继续采取措施,维护我司的声誉和形象,并将与合作单位及司法机关密切配合,追究相关法律责任。
特此声明!
IMKEY PTE. LTD.
2024 年 6 月 17 日
了解 imKey
查看所有 篇文章如何防范硬件钱包供应链攻击?
imKey Pro 硬件钱包采用 Infineon 出品的安全芯片(型号: SLE78CLUFX5000PH) ,该芯片的安全等级达到了军工级 CC EAL 6 + 标准,是当前使用安全芯片的硬件钱包中公认的最高安全等级。硬件钱包作为目前市场普遍认同的最为安全的资产保管方案,可以保护私钥等敏感信息不会被黑客非法访问或篡改,让资产更安全。但是凡事无绝对,对于硬件钱包而言,供应链是其不得不正视的安全短板。
本文主要从购买渠道和产品开箱两方面介绍 imKey Pro 应对供应链攻击的一些措施。
如何购买 imKey Pro
为确保产品品质以及售后服务质量,强烈建议您通过官方渠道进行购买。目前,imKey 官方提供三种购买途径:
有赞商城:如果您的收件地址在国内,可以通过官方有赞商城购买,产品会通过顺丰快递在国内配送,配送速度快且安全可靠。
亚马逊店铺:如果您的收件地址在海外,可以到亚马逊 imKey 官方店铺购买。亚马逊是全球知名的电商平台,购买和配送都非常方便。
官方网站:如果您的收件地址在海外,也可以通过 imKey 官方网站购买。
请注意,只有官方渠道购买的 imKey 产品才能保证您的资产安全,同时还能享受官方售后服务。如果您从其他渠道购买,我们无法保证产品质量和售后服务。
如何防范硬件钱包供应链攻击
在首次开箱前务必通过以下几个步骤检查 imKey Pro 是否为官方正品:
1. 检查快递发货地:确保发货地是官方指派的地址,目前官方指派的中国大陆地区发货地址为浙江省杭州市,具体以官网信息为准;
2. 检查快递包装盒:检查快递盒是否为官方定制包装盒;
(印有 imKey logo 的包装盒,此款为中号)
3. 检查产品外包装:确保产品外包装的塑料封膜完好;确保产品包装左右两侧的不可逆封条完整无损且撕开后的条纹是完整的字母;
(imKey Pro 的不可逆封条)
4. 检查设备界面:开启未激活设备后,您会看到设备屏幕界面依次为选择语言 - 设备蓝牙名称;
(此操作界面代表 imKey 未经激活)
5. 检验设备是否可以激活成功:首次与 imToken 应用程序进行时,硬件设备会提示「激活成功」;
请注意,如果您购买的 imKey Pro 无法通过以上检查,那么您很可能购买到已经被使用过的产品,如果继续使用可能会造成资产损失。如遇到这类情况,请通过 Discord 和官方邮箱 support@imkey.im 与我们联系进行确认。
再次提醒!!!
拿到全新设备后,以下操作一定要由你自己完成:
- 激活设备(激活不可逆,每台设备只激活一次)
- 设置并备份 PIN 码和绑定码
- 创建并备份助记词
最后
引用《区块链黑森林手册》引言中的两大法则:
1. 零信任:简单来说就是保持怀疑,而且是始终保持怀疑。
2. 持续验证:你要相信,你就必须有能力去验证你怀疑的点,并把这种能力养成习惯。
如有任何怀疑,可通过 Discord 和官方邮箱 support@imkey.im 与我们联系,让我们一起守护资产安全。
更安全的离线资产管理方案
对于数字资产而言,助记词是最重要的安全信息,我们在保管助记词时务必注意以下两点:
- 助记词一旦丢失,任何人无法找回丢失的数字资产
- 助记词一旦泄露,别人就等同掌握了你的数字资产
据相关数据表明,所有的数字资产攻击事件中,66.3% 是在联网环境下远程攻击造成的助记词泄漏,资产被盗。那么我们该如何避免这类攻击,做好资产的安全防护呢?
最优资产管理方案:
小额资产放软件钱包,大额资产放硬件钱包。
这是业内公认的最佳实践。硬件钱包在完全离线的环境下生成并存储私钥,同时将私钥以一组随机生成的助记词形式呈现,便于用户进行备份和恢复。这种方式有效降低了资产被盗的风险,保障用户的资金安全。
imToken 推荐用 imKey 提供的双重防护离线资产管理方案,为你的数字资产提供全面保护:
一重防护:全程离线环境生成与储存私钥
imKey Pro 硬件钱包(冷钱包)采用全程不联网的设计,提供卓越的离线资产管理方案:
- 离线生成私钥:在完全离线环境中生成私钥,杜绝私钥泄露风险。
- 离线存储私钥:私钥等敏感数据被安全存储在硬件钱包的安全芯片中,与网络完全隔离,确保数据安全。
- 物理确认交易:在进行交易时,需通过硬件钱包的物理按键进行签名确认,类似银行 U 盾的安全机制,确保每笔操作安全可靠。
二重防护:物理介质离线备份助记词
即使私钥生成和存储在硬件钱包中,也务必需要做好离线备份助记词。imKey 助记词密盒是理想的物理介质备份工具,具有以下特性:
- 高耐久性:采用全不锈钢材质,具备防水、防火、防腐蚀能力,有效应对极端环境。
- 多重保护:离线保管助记词的同时,避免因意外灾害导致助记词丢失或损毁。
点我购买
离线资产管理方案是目前数字资产安全领域的最佳实践。使用 imKey Pro 硬件钱包与助记词密盒,可以有效保护你的私钥/助记词不被泄露,为你的数字资产提供全方位安全保障。
imKey 能保证资产不被盗吗?
imKey 能否完全保障资产安全?
imKey 硬件钱包通过离线存储私钥和多重安全设计,为用户提供了高水平的安全保障。然而,这并不意味着使用 imKey 就能完全杜绝资产被盗的风险。以下是一些常见的安全隐患及其防范建议:
潜在的资产被盗风险
-
助记词泄露
- 原因:助记词是私钥的明文表现形式,用于恢复钱包。一旦助记词被他人获取,资产可被轻易转走,即使使用了硬件钱包。
- 防范建议:确保助记词仅存储在安全的物理介质上,如防水、防火的助记词存储工具,避免存储在联网设备中。
-
授权盗币
- 原因:用户可能误授权给伪装成「转账」「挖矿」「理财」等恶意 DApp 的合约地址,导致授权的代币(如 USDT)被转移。这是代币机制导致的问题,与钱包的冷热无关。
- 防范建议:在使用 DApp 前务必确认其来源可靠,避免轻易进行授权操作。
温馨提醒
- 避免将助记词导入热钱包
- 除非紧急情况,不要将 imKey 硬件钱包的助记词导入任何联网的热钱包,以免助记词被窃取。
- 提高安全意识
- 使用钱包时需谨慎操作,确保助记词的妥善保管并避免进行不明授权。
- 在确保助记词未泄露、未进行不必要授权的前提下,你可以放心使用 imKey 硬件钱包来保障资产安全。
imKey 硬件钱包通过先进的安全技术,能最大程度保障你的资产安全。然而,安全的核心在于用户自身的防范意识。牢记助记词的保管原则,警惕授权风险,才能真正实现数字资产的安全管理。
硬件钱包如何保障资产安全?
引言
随着数字资产的广泛应用,用户正在面临越来越多来自网络的威胁。如何保障数字资产安全成为人们最关注的话题之一,其中,硬件钱包被视为目前保障数字资产安全的最佳方案备受关注。因此,本文旨在通过介绍硬件钱包的基本原理,安全芯片的重要性、硬件钱包面临的风险,希望读者能更好地理解硬件钱包的工作原理和安全性能。
硬件钱包的基本原理
硬件钱包是一种实体设备,用于生成和管理私钥的工具。不同于软件钱包将私钥存储在手机或电脑的本地文件里,硬件钱包会将私钥存储在孤立环境中,每次交互都需要使用实体设备物理确认交易,可以有效降低设备被黑客和恶意软件攻击的风险。
1.私钥的作用
我们都知道,非对称加密使用私钥和公钥。当使用钱包进行签名时,实质上是使用私钥对交易(Transaction)的摘要进行加密形成数字签名,然后交易和数字签名会被广播到区块链上,验证者会使用相应的公钥检验数字签名的有效性,只有通过验证的交易才会被执行。如果要转移某个钱包地址内的资产,就必须使用正确的私钥来进行签名。因此,只要掌握了私钥就拥有了该钱包地址的控制权,所以备份好私钥是最最最重要的!
私钥通常以 64 位 16 进制的字符串表示,如:
56f759ece75f0ab1b783893cbe390288978d4d4ff24dd233245b4285fcc31cf6
由于私钥并不便于备份和记忆,BIP-39 提案引入了助记词。可以简单理解为,助记词是私钥的另一种显示形式,只要有助记词,就可以恢复私钥。因此,备份助记词也是非常重要的!
2.私钥是如何生成的?
生成私钥需要满足两个条件:随机数(X)、密码学算法f(x),即私钥 = f(x)。这意味着只要有一个数字和算法,无需连接互联网就可以生成私钥。其中,生成私钥的密码学算法是确定且不可逆的,所以私钥的安全性取决于随机数的质量。
随机数在很多领域中扮演重要角色,如计算机仿真、统计采样、密码学和网络游戏等。不同领域对随机数的质量要求也不相同。例如,网络游戏会使用特定的伪随机机制,来降低连续暴击或不暴击的概率,或者实现十连抽必中的策略,以提供更好的游戏体验。但在信息安全领域中,随机数必须满足「随机性」和「不可预测性」的要求,以确保私钥的安全性。理想情况下,基于随机数生成的私钥只能通过暴力攻击来破解。
随机数的质量可以通过以下三个标准进行检验:
- 随机性:随机数应具有良好的统计特性,不存在统计学上的偏差,是完全混乱的数列。随机数序列中的数字分布应该是均匀的,出现频率大致相等。
- 不可预测性:给定随机序列的一部分和随机算法,无法有效地推算出该序列的其他部分。
- 不可重现性:除非将随机序列本身保存下来,否则不可能出现相同的序列。
通常,满足第一和第二标准的随机数生成器被称为伪随机数生成器,而同时满足这三个条件的随机数生成器被称为真随机数生成器。软件钱包通常使用鼠标和键盘的移动、时间等变量来获取随机数,属于伪随机数生成器;而硬件钱包则利用物理过程的不可预测性,如电子噪声或量子效应,来获取高质量的随机数,属于真随机数生成器。
3.私钥存储在哪里?
根据生成和存储私钥的设备是否连接互联网,钱包又被分为热钱包和冷钱包。热钱包是在联网环境下创建的钱包,私钥被加密后存储在计算机或手机的本地文件,但私钥有可能被黑客通过网络攻击或恶意软件(例如假冒钱包)窃取,最终造成资产损失,使用 imToken、MetaMask 等软件钱包创建的钱包都属于热钱包。冷钱包是在隔绝网络环境下创建的钱包,私钥被加密后存储在安全芯片,安全芯片具有物理隔离和加密功能,可以防止私钥在传输过程中被黑客截获或窃取,使用 imKey、Ledger 等硬件钱包创建的钱包属于冷钱包。
硬件钱包如何在不联网的情况下将交易信息广播到区块链上?
硬件钱包通过安全芯片离线生成和存储私钥,相当于「离线签名器」,需要通过一个联网设备才能将交易广播到区块链上。具体而言,联网设备会通过 USB、蓝牙、二维码等技术将交易信息传输给硬件钱包。硬件钱包使用私钥对交易信息进行签名,并将签名结果返回给联网设备,最终由联网设备将交易广播到区块链网络。整个过程中,私钥始终存储在安全芯片中,不会暴露给联网设备,从而确保私钥的安全性。
小结:硬件钱包是一种安全可靠的数字资产管理工具,具有去中心化、安全存储私钥和离线签名的特点。硬件钱包通过离线生成和存储私钥以及确保私钥不离开硬件钱包,避免将私钥暴露在不安全的环境中,可以为用户的数字资产安全提供更可靠的保障。
安全芯片的重要性
1.什么是安全芯片
安全芯片是一种微型计算机,由多个元器件构成。其核心组成部分是安全单元(Secure Element,简称 "SE"),安全单元通过特殊的安全元器件和芯片操作系统(Chip Operating System,简称“COS”)实现数据安全存储、加密解密运算等功能。
安全芯片的主要功能包括数据保护和安全运算。数据保护方面:安全芯片提供安全的存储区域,用于存储和保护私钥等敏感数据,以防止私钥被非法获取。安全运算方面:因为配备了独立的操作系统,安全芯片可以提供高质量的随机数并且在与外界完全隔离的情况下生成、存储和使用私钥。
2.芯片如何保障敏感信息的安全?
安全芯片会提供多层次的保护,以防止攻击者通过电子攻击、物理攻击等手段获取芯片内的敏感信息。
电子攻击方面:安全芯片通过访问控制和数据加密,确保只有经过授权的软件和固件才能在芯片上运行,进而保护信息的隐私和完整。
物理攻击方面:安全芯片采用特殊材料和设计,具备抗击穿攻击和物理破坏的能力,并且能够抵御恶劣环境条件下的攻击,如高温和高湿。还有物理屏蔽、电磁屏蔽、时钟频率扰动、功耗分析抵抗等保护机制,防止攻击者通过侧信道攻击、热攻击和电磁攻击获取敏感信息。
需要注意的是,绝大多数安全芯片采用保密协议,不会公开其固件的源代码,以提高系统的安全性,防止潜在的攻击。尽管固件源代码不公开,但安全芯片仍需严格的安全审计和认证,以确保其安全性和可靠性。
3.芯片安全等级的衡量标准
芯片安全领域最权威的 CC(Common Criteria)标准(即 ISO/IEC 15408 标准)于1999年发布,用于评估芯片的安全等级。CC 标准将芯片从多个角度进行评估,将安全验证等级划分为 EAL1 至 EAL7 ,共7个等级,等级越高表示芯片的安全等级越高。这里做一个小科普:日常使用的银行卡使用的芯片是 EAL4+ 和 EAL5+ 级别的,而 EAL6+ 已达到军工级别的要求。目前大多数硬件钱包采用的是 CC EAL 5+ 级的芯片,部分硬件钱包如 imKey Pro 采用了 CC EAL6+的安全芯片,是当前芯片安全等级最高的硬件钱包之一。
小结:大量的安全芯片知识听起来比较晦涩,这里只做一些简单的科普,建议读者选择采用安全芯片且具备较高安全认证资质的硬件钱包。
硬件钱包面临的风险与预防措施
尽管硬件钱包可以提供最大程度的资产安全保障,但并不意味着使用硬件钱包就能绝对保证资产安全。
1.供应链攻击
供应链攻击是指攻击者通过干预或篡改供应链中的环节,将恶意组件或恶意代码注入最终产品,以实现攻击目的。作为一个物理产品,硬件钱包的生产过程涉及多个环节,包括原材料供应商、制造商和分销商等。这些环节都可能受到供应链攻击的威胁。
2.如何预防供应链攻击?
过去已经发生过多起供应链攻击的案例,例如设备被植入恶意固件代码和分销渠道被篡改等。为了确保产品的安全性,硬件钱包制造商通常会采取防止恶意篡改的安全设计,并在生产过程中进行全面的设备校验。
除了官方加强对供应链环节的监控和审查外,普通用户可以采取以下措施来预防供应链攻击:
- 从官方或有资质的分销商处购买产品。
- 检查发货地为官方指派地址。
- 检查硬件钱包原厂包装 & 不可逆封条 & 激活验证。
- 检查硬件钱包生成的助记词/私钥完全随机。
3.黑客攻击
黑客会利用互联网获取用户的授权签名或者通过窃取助记词来盗取资产。常见的黑客攻击手段包括邮箱/短信钓鱼攻击、恶意软件、利用代码漏洞和网络针孔攻击等。一旦造成资产损失往往很难追回。根据慢雾提供的统计数据,因助记词泄露导致的资产损失超过13亿美元。
4.如何预防黑客攻击?
使用硬件钱包可以预防绝大多数的网络攻击,因为黑客无法远程获取安全芯片里的敏感信息,但黑客仍然可能通过钓鱼等手段进行攻击。作为普通用户,一定要确保助记词/私钥生成、存储、备份和使用的过程是安全的。
- 生成、存储阶段。建议优先选择知名度较高且经过安全审计的钱包服务提供商,并从官方渠道下载应用程序。软件钱包推荐 imToken 和 MetaMask,硬件钱包推荐 imKey 和 Ledger。对资产安全有较高要求的用户,强烈建议使用硬件钱包。如果没有一个安全可靠的钱包,拥有再多的资产也毫无意义。
- 备份阶段。建议将助记词等敏感信息离线备份,例如纸质备份或使用离线的存储介质。此外,备份过程应确保周围没有他人,并且没有摄像设备拍摄。
- 使用阶段。切勿将助记词/私钥告知他人,也不要使用剪贴板或通过网络传输助记词,因为助记词/私钥一旦泄露,就有可能造成资产丢失。另外,非紧急情况下,不要将冷钱包的助记词导入联网设备,这样会导致冷钱包会变为热钱包。
5.其他预防资产损失的措施
定期更新固件版本以修复安全漏洞。硬件钱包制造商通常会发布固件更新,以修复安全漏洞并增强设备的安全性。用户应及时更新硬件钱包的固件,以确保始终具备最新的安全防护功能。此外,用户还应密切关注制造商发布的安全公告,了解与设备相关的漏洞修复和安全提示。
切勿点击陌生链接。黑客会将钓鱼网址伪装成你熟悉的网站,以获取你的授权签名,常见的骗局包括代币授权和账户多签。代币授权是指将某个代币(常见为 USDT)的转账额度授权给某个钱包地址。如果将代币授权给恶意钱包地址,授权的代币会被直接转走,这是由代币机制导致的,冷热钱包都无法防止,只能通过提高自身的链上安全意识来预防受骗。账户多签是指转让钱包相关权限,只有满足特定条件时才可以完成转账。无论哪种情况,都需要钱包拥有者先支付矿工费进行签名,因此一定要养成先查看签名内容后进行签名的习惯。
小结:尽管硬件钱包可以有效预防黑客攻击,但并不意味着使用硬件钱包后资产绝对安全。硬件钱包的优势在于隔离网络环境下生成、存储和使用私钥,会存在供应链攻击、钓鱼攻击等风险。对于普通用户来说,加强链上安全意识是非常重要的。
代码开源与闭源对钱包安全性的影响
开源是指将软件/硬件相关的代码公开,任何人都可以查看。开源有助于促进创新和知识共享,使人们能够更好地学习和改进代码,推动技术进步。在数字世界中,“代码即法律”。钱包作为人们进入 WEB3 最重要的门户,保障其代码的安全性也是非常必要的,所以也要开率代码开源与闭源对钱包安全性的影响。
开源也在一定程度上代表产品自信,代码开源使更多人能够进行审计,而开源社区的开发者们会积极响应并修复漏洞,进一步提升产品的安全性。在区块链构成的世界里,所有信息都是公开可查询的。区块链的原住民们对代码开源的产品有天然的好感。
但是代码往往依赖于第三方组件/库。如果其中一个组件存在安全漏洞或被恶意篡改,可能会在整个软件生态系统中传播并引发安全问题。如 2014 年发现的 Heartbleed 漏洞影响了 OpenSSL 加密库,使得许多网站和服务的安全性受到威胁,造成的资产损失超过 5 亿美元。在信息安全领域,安全是一场持久的战斗,率先发现安全漏洞的一方会获得绝对优势,黑客可能会利用漏洞进行攻击。因此,部分钱包会选择闭源,让专业的代码审计公司提供审计服务。
硬件钱包是否开源一直备受关注。但不同于软件的开源代码可以运行在自定义环境里,运行固件代码需要芯片和 COS(Card Operating System),这涉及多个学科的知识,学习和运行成本非常高。Ledger 的 CEO 甚至将硬件钱包开源固件代码视为一个伪命题:因为用户使用产品前,首先会面临一个问题:设备内运行的固件代码是经过审核的开源代码吗?这个问题是无法自证的。因此,用户在选择硬件钱包时,更注重的还是品牌实力和口碑。
小结:开源不一定意味着安全,闭源也不代表不安全。开源促进创新和知识共享,有助于学习和改进软件,推动技术进步。开源产品便于审计和修复漏洞,可以打造出更加安全的产品。然而,开源软件可能会受到第三方组件漏洞的影响,从而传播安全问题。因此,部分钱包会选择闭源并接受代码审计公司提供的审计服务。用户在选择硬件钱包时,更注重的还是品牌实力和口碑。
单芯片 or 多芯片,哪个更安全?
摘要
单芯片方案和多芯片方案各有优劣,对于囤币用户而言,单芯片硬件钱包是更优选择。
随着区块链技术的迅猛发展,硬件钱包作为加密代币安全存储的重要工具,备受用户关注。市场上出现了两种主要的设计方案:单芯片方案和多芯片方案。在安全性方面,究竟哪种方案更优呢?本文将深入探讨这两种方案的优劣,特别是从安全性的角度,来回答这个问题。
单芯片方案的优势
1. 集成度高
单芯片方案将所有功能集成在一个芯片上,减少了元器件的数量,降低了硬件设计的复杂性。高集成度不仅使得硬件设计更为简洁,还减少了潜在的攻击面,因为所有的功能都在一个封闭的环境中运行,外界很难通过传统的硬件攻击手段进行干扰。
2. 通信安全
在单芯片方案中,内部通信不需要经过外部总线,这意味着数据传输的整个过程都在芯片内部完成,减少了被窃听或中间人攻击的风险。相比之下,多芯片方案需要芯片间的通信,这个过程存在被攻击的可能性。
3. 功耗低
单芯片设计通常比多芯片设计的功耗更低。这不仅有助于延长设备的电池寿命,对于便携性要求高的硬件钱包来说,这点尤为重要。
4. 成本优势
由于集成度高,单芯片设计的生产成本相对较低,这可以降低产品售价,让更多用户享受到安全、经济实惠的硬件钱包。
单芯片方案的潜在问题
1. 单点故障风险
有人认为单芯片设计存在单点故障的风险,即如果芯片出现问题,整个设备可能会失效。然而,对于硬件钱包来说,这个问题并不会造成真正的资产损失。因为即便硬件出现故障,用户仍然可以通过助记词恢复钱包,确保资产安全。
2. 扩展性差
单芯片方案在功能扩展和升级方面存在一定限制。然而,对于硬件钱包来说,安全存储加密代币是核心需求,用户并不需要太多的功能拓展。因此,扩展性差并不会对「囤币」为主的用户体验产生显著影响。
多芯片方案的安全性考量
1. 功能分离
多芯片方案可以将不同功能分离,比如将加密算法处理和用户界面分开,这种设计可以在一定程度上增强系统的安全性。即使一个芯片被攻破,其他芯片仍然可以保持安全。
2. 模块化设计
多芯片设计更容易进行功能扩展和升级,具有更高的灵活性。然而,这种灵活性在硬件钱包的安全囤币核心需求面前,并没有明显的优势。
3. 通信安全风险
多芯片设计需要芯片间通信,可能增加被窃听或中间人攻击的风险。这需要额外的安全措施来保护数据传输,而这些措施可能进一步增加设计的复杂性和成本。
综上所述,单芯片方案在高集成度、通信安全、低功耗和成本优势方面具有显著的优势。虽然存在单点故障和扩展性差的潜在问题,但这些问题对于硬件钱包的核心需求——安全存储加密代币——来说并不会带来实质性的影响。助记词恢复功能可以有效解决单点故障风险,而用户对硬件钱包的扩展性要求并不高。
因此,从安全性角度出发,单芯片方案显然是更优的选择。它不仅能够提供更高的安全保障,还能以更低的成本和更长的电池寿命,满足用户对安全囤币的需求。imKey Pro 是一款单芯片硬件钱包,如果你的第一需求是安全囤币,那么,imKey Pro 是你的最佳选择之一。
有「芯 」才安心,一文全面了解安全芯片
摘要
本文介绍了安全芯片的定义、用途、发展前景、安全性及其抵御攻击的能力,同时科普了 imKey 硬件钱包的强大安全性能。
随着科技的发展,信息安全变得愈发重要。安全芯片作为保护数据安全的核心技术,被广泛应用于金融、物联网等多个领域。本文将详细介绍什么是安全芯片、它的用途和前景、为什么它被认为是安全的、它可以抵御哪些攻击,以及以 imKey 硬件钱包为例,展示其强大的安全性能。
什么是安全芯片?
安全芯片,主要指安全单元(Secure Element, SE),是一种微型计算机,通过特有的安全元器件和芯片操作系统(COS)实现数据的安全存储和加解密运算。SE 的特点是体积小、功耗低、可靠性高、保密性强,因此可以嵌入到各种产品中,例如 IC 卡、SD 卡、SIM 卡、eSE、网银 USBKey 和可穿戴设备等。
安全芯片的用途
安全芯片在我们生活中有许多应用场景,如银行卡(带有金属接触面的)、手机 SIM 卡、身份证和网银 USBKey 等。它在人工智能、物联网(IoT)、车联网等新兴技术中的应用也越来越多,为这些领域提供了有力的安全保障。
安全芯片的前景
随着全球各国大力推动 5G、量子通信、人工智能、车联网、物联网和工业互联网等新技术的发展,安全芯片的需求也在不断增长。我国也发布了促进人工智能和车联网发展的行动计划,为新技术创造了良好的政策环境。无论是智能终端、物联网还是智能家居,这些技术的发展都离不开芯片的支持。安全芯片产业已被列为国家信息安全战略之一,未来发展潜力巨大。
为什么安全芯片安全?
芯片的安全可以从芯片自身的安全设计、检测标准等角度来分析。
首先,芯片自身无论从内部软件设计层面还是物理构造层面都必须有很高的安全性,由于安全芯片的设计原则十分复杂且繁多,重点列举几项:
- 是否采用安全的 CPU,主要用于密钥、数据信息的计算和运行过程中的安全检测;
- CPU 寄存器是否具备掩码保护功能;
- 内存(NVM、RAM)是否被加密,是否具备专门的完整性验证保护;
- 是否具备温度、电压、频率、光传感器以及专用保护网;
- 是否具备安全加解密计算的协处理器。
其次,所谓安全并不是绝对永恒的,其实只是在一段时间一定条件的相对安全,那么可以理解为在一定限度内也是有标准可依据的,因此只有通过标准符合性的检测,才能认为是相对安全的。
讲到这里,就不得不提一下 ISO 国家标准化组织于 1999 年正式发布的 ISO/IEC 15408 标准(信息技术--安全技术-- IT 安全评估准则),也就是经常提到的 CC 标准(通用准则)。ISO15408 是针对信息安全相关产品或系统所制定的安全评估准则,已成为国际标准认证,也是全球最严谨的安全系统评估准则。
CC 标准的意义在于:通过评估有助于增强用户的对于 IT 产品的安全信心、促进 IT 产品和系统的安全性、消除重复的评估。
安全芯片,CC 标准明确了其安全验证等级由低至高共分为 EAL1 至 EAL7 这 7 个等级。等级越高,表示通过认证需要满足的安全保证要求越多,其安全特性越可靠。而每一个级别的安全认证,均需要从多个角度评估。补充下,金融领域采用的普遍是 EAL4+、EAL5+ 级别产品,而 EAL 6 + 已经达到的军工级别。
安全芯片可以抵御哪些攻击?
根据国际 CC 标准,安全芯片必须具备的抗攻击要求,参见如下:
- 应保证安全芯片具备抵抗物理测定存储器单元逻辑内容的保护能力;
- 应保证存储单元逻辑或安全芯片内部布线已暴露时,安全芯片具备抵抗根据存储器单元逻辑恢复有用代码或者信息里的能力;
- 应保证安全芯片具备抵抗通过旁路分析导致存储器敏感信息暴露的保护能力,如分析运行安全芯片功耗图,电磁场辐射或者主要处理功能的时序等;
- 应保证入侵安全芯片进行机械探测攻击难以暴露存储器代码和信息;
- 应保证以电压对比和电子束探测等攻击方式难以暴露存储器信息;
- 应保证安全芯片应用不受操作环境变化干扰的影响。如果探测到内部变化或时钟率、电压、复位脉冲宽度以及温度等规范外的赋值,使其无效;
- 应保证安全芯片应用的执行不受探测攻击的影响;
- 应保证安全芯片能够抵御具备全面的安全芯片设计知识的人员使用高端专门工具通过 FIB 系统或者激光切割机对安全芯片修改的能力;
- 应保证安全芯片受到的光学错误攻击、电磁场和放射线干扰,不会影响应用程序的正常运行或进入一个安全的状态;
- 应保证安全芯片的设计具备一定的难度性,攻击者必须通过大量的努力和使用高端的专业工具才能对逻辑建立模块进行反向工程提取。
总结来说,对于即使具备专业知识的技术人员来说,想攻击安全芯片的难度也是相当之大的。
imKey 的安全性如何?
imKey 从软件/硬件多个角度对产品进行了苛刻的安全设计,此处重点介绍硬件层面,imKey 使用的是 CC EAL6 + 安全芯片,这款芯片已经达到了军工级别,具备以下安全特性:
- 内置真随机数发生器;
- 双核 CPU,一个执行,一个安全检测;
- 所有 CPU 寄存器具备掩码保护功能;
- 所有 NVM、RAM 均被加密,且有专门的完整性验证保护;
- 具备温度、电压、频率、光传感器以及专用保护网;
- 具备 DES、AES 以及用于 PKI 运算的协处理器。
注:区块链钱包的核心就是私钥,而且私钥其实质就是一串随机数,随机数的安全性直接影响着私钥的安全强度。imKey 使用的这款芯片就是采用真随机数发生器生成的随机数,真随机数发生器通常采用来自热噪声方式生成随机数,随机性强,安全性高,很难被预测,这从源头上保证了私钥的机密性,也就确保了钱包的安全性。因此,你通过 imKey 存储的资产的安全性得到了保证,因为私钥的安全性得到了保证。
安全芯片是否应该开源?
安全芯片是否开源是一个有争议的问题。开源意味着暴露安全设计,可能带来不可估量的安全隐患。如同你的部队倾尽全力构建了一座军事防御堡垒,为了向世人证明你的堡垒安全性,你得把你的安全构建公之于众,这样无形中就会暴露给敌人,给予了可乘之机。
安全芯片有其遵循的行业准则和国际标准,并且安全芯片已经被广泛应用于军事、金融、政务、民生等领域,因此不能将开源作为评判安全芯片是否安全的标准。
大量的安全芯片知识听起来比较晦涩,总结来说建议大家在购买硬件钱包时,尽量选购采用了安全芯片且具备安全认证资质的产品,以确保资产的安全。
Web3 入门
查看所有 篇文章ETH(Ethereum)钱包
入门
以太坊简介
以太坊是一个为去中心化应用(DApp)而生的全球开源平台。
以太坊主网于 2015 年上线,是世界领先的可编程区块链。和其它区块链一样,以太坊也拥有原生加密货币,叫作 Ether (ETH)。 ETH 是一种数字货币, 和比特币有许多相同的功能。 它是一种纯数字货币,可以即时发送给世界上任何地方的任何人。 ETH 的供应不受任何政府或组织控制,它是去中心化且具稀缺性的。全世界的人们都在使用 ETH 进行支付,或将其作为价值存储和抵押品。了解更多
以太坊钱包
钱包是一种应用程序,可以便捷地保存和传送 ETH,同时可以通过钱包与以太坊上构建的应用程序进行交互。
🔸钱包
- 移动端钱包 imToken - 为全球千万用户提供数字资产管理服务
- 硬件钱包 imKey - 安全好用,从此告别数字资产被盗
🔸创建钱包之前,请学习如何备份钱包
以太坊买卖
获取 ETH 最简单的方式就是购买。市面上有许多可以购买 ETH 的数字货币交易所,但用户需要根据所处地址和付款方式选择合适的交易所。
在购买 ETH 之前,尝试在这里了解购买方式 & 风险等信息,便于你更安全快捷的完成购买。
🔸支持购买 ETH 的交易所
- Coinbase
- Binance
- OKX
- ...
使用
以太坊交易
你也许希望通过代币兑换获得 ETH。市面上大多交易所都支持 ETH 交易,你可以根据需要选择去中心化交易所或中心化交易所。
🔸去中心化交易所 Tokenlon
Tokenlon 是基于 0x 协议的去中心化交易所,旨在为用户提供「速度快」「价格优」「币种多」的交易体验。交易资产完全由用户掌握,无需充值、提现,即可借助 Tokenlon 快速完成币币兑换。
🔸中心化交易所
由交易所托管用户资金 ,提供数字货币流动性供应,具有学习成本低、撮合效率高等特点。
- Binance
- OKX
- …
以太坊转账
以太坊转账与中心化世界的银行转账有很大区别,有时会遇到「转账失败」或「转错地址」等情况,这时你需要了解以太坊转账机制以及转账会遇到的情况。
🔸以太坊转账机制
🔸以太坊转账会遇到以下情况
以太坊挖矿
以太坊目前使用的是权益证明共识机制。 这种机制使得以太坊网络能够就以太坊区块链上所记录的信息状态达成一致,并使其免受某些经济攻击。
学习
以太坊创始人
V 神全名维塔利克˙布特林(Vitalik Buterin),区块链平台「以太坊」创办人兼首席科学家,一个立志用区块链技术颠覆实体经济的 90 后小伙子。2013 年,他着手开发一个去中心化、基于区块链技术的计算平台,取名 Ethereum。2015年,以太坊正式上线,在区块链世界掀起层层波浪。2016 年 Vitalik Buterin 被美国《财星》杂志评为 2016 年 40 岁以下的 40 大杰出人物之一。了解更多
以太坊价格
- CoinMarketCap: Cryptocurrency Market Capitalizations
- CoinGecko: 360° Market Overview of Coins & Cryptocurrencies
- 非小号| 专注数字货币行业大数据分析
以太坊浏览器
以太坊区块浏览器是一个查询以太坊区块、交易、ETH 代币、钱包等信息的网站,实时同步更新 ETH 所有节点信息。
🔸你也许想知道该如何使用:
区块链转账矿工费作用和机制
在区块链网络中,矿工费(或称交易手续费)是用户在发起转账或执行智能合约时,支付给矿工或验证者的费用。矿工费的主要作用是激励矿工处理交易,同时保障区块链网络的安全性与正常运行。
为什么矿工费会突然上涨?
市场行情波动较大,导致以太坊网络的交易量激增,网络出现了严重拥堵。由于以太坊网络每秒能处理的交易数量有限,为了确保自己的交易尽快被打包,用户通常会提高矿工费,从而导致整体矿工费上升。
imKey 作为去中心化硬件钱包,所有交易的矿工费都直接支付给矿工,imKey 不收取任何费用。所以,矿工费上涨的问题,并不是由 imKey 所造成的,我们可不背这个锅哦!
矿工费上涨后,有不少小伙伴在转账上遇到了问题,今天这篇文章汇总了 9 大转账常见问题,你可以「对症下药」。
1.为什么要支付矿工费?
当我们在区块链上进行转账时,是由一群名为「矿工」的人处理并记录我们的交易信息,他们时刻在维护区块链网络的安全稳定,因此收取辛苦费,也就是矿工费。
2.为什么矿工费这么贵?
区块链上的矿工费是实时调整的,如果很多人转账,就会导致交易都在区块网络中排队,而以太坊网络在一定时间内可处理的交易笔数是有限的,着急转账的人就会提高矿工费让自己的交易被尽快打包。从而导致整个网络的平均矿工费上升。
当前以太坊网络等待打包的交易有 16 万笔,所以矿工费比较高。
数据来源:https://etherscan.io/txspending
3.发起交易时,矿工费设置太低了,一直不到账。想要重新调高矿工费,怎么调?
对于已经发出的交易,如果想要它尽快确认,可以在转账记录中找到等待打包的交易,点击「加速交易」,就可以调高矿工费,完成交易加速打包。
4.矿工费不足怎么办?
以太坊钱包中的所有代币在转账时都需要使用 ETH 支付矿工费,如果你的钱包中没有 ETH,转账就无法正常进行,需转入 ETH。
5.进行了好几笔交易,为什么都没有成功?
如果你有一笔交易处于等待打包,没有成功的状态,那么后续发起的多笔交易就会排队等待打包。对于同一个地址发起的交易来说,矿工需要按照交易发起的先后顺序进行打包。当第一笔交易成功后,才会轮到后续的几笔交易。
6.交易一直显示打包中状态,能取消吗?
日常生活中的转账和区块链转账有着本质上的不同,区块链上的交易一旦发出,就无法修改或取消。
当交易长时间处于等待打包的状态,你有两种选择:
- 如果你不着急到账,那么你可以耐心等一下,以太坊网络上的拥堵减缓以后这笔转账就会成功了。
- 如果你急于资产到账,那么你可以选择加速交易,追加矿工费让交易尽快打包。
7.交易打包失败后,代币会退回我的地址吗?
只有交易成功后,代币才会从你的地址中扣除。如果在转账时矿工费设置得过低,导致交易被矿工丢弃,也就是打包失败的情况,代币依然会留在你的地址中。(注:矿工费会扣除)
8.使用 DeFi 应用,如何调整矿工费?
使用 imToken 对交易进行授权时,点击矿工费即可进入矿工费自定义模式。
注意:使用 DeFi 应用发起交易时,如需自定义矿工费,请谨慎,以免由于设置不当导致交易失败,损失矿工费。
9.如何合理设置矿工费?
imToken 会实时调节适应于当前区块网络的最佳矿工费设置,只需按照默认设置进行转账,即可快速到账。
如果你觉得默认的转账费用太贵,可以选择三挡变速中的「经济」,把矿工费调低,但这也会减慢你的资产到账时间。
区块链基本特性
区块链具有去中心化、不可篡改、不可逆、匿名等特性。
去中心化:因为整个网络没有中心统治者。系统依靠的是网络上多个参与者的公平约束,所以任意每几个节点的权利和义务都是均等的,而且每一个节点都会储存这个区块链上所有数据。即使该节点被损坏或遭受攻击,仍然不会对账簿造成任何威胁。
不可篡改:确保信息或合约无法伪造。账簿在某个人或某几人手上,造假的可能性就非常高,但每个人手里都有一本账簿,除非整个网络里超过 51% 的人都更改某一笔账目,否则任何的篡改都是无效的,这也是集体维护和监督的优越性。
不可逆:区块链上的信息必须不可撤销,不能随意销毁。系统是开源的,整个系统都必须是公开透明的,因此某笔交易被全网广播以后,达到 6 个确认以上就成功记录在案了,且不可逆转不可撤销。注: imToken 是 12 个区块确认。
匿名性:各区块节点的身份信息不需要公告或验证, 信息传递可以匿名进行。举个简单的例子, 就是你在区块链上向一个钱包地址发起交易, 但是却无法知道这个地址背后确切对应的是哪一个人, 或者你的私钥被某一个黑客盗窃了, 无法从一个钱包地址中得知黑客是谁。
综上所述,区块链的这些特性确保了系统的安全性、透明性和去中心化优势,同时也推动了区块链技术在各个领域的广泛应用。
导入助记词,提示不正确或无效怎么办?
请对照钱包的提示选择解决办法
提示:无效助记词
说明你导入的助记词中有单词并不在 BIP39 词库,请根据软件提示检查一下,将错误的单词改正,不断尝试直到导入成功。
提示:助记词长度不正确
说明你输入的助记词数量不对,一个助记词通常是 12 个单词。请检查一下是否遗漏或输入了多余的单词,请在查正后重新导入。
提示:助记词校验位不正确
助记词的第 12 个单词是它的校验位,该单词由前 11 个单词推导生成,起到验证的作用。一般以下三种情况会出现「校验位不正确」的提示:
- 前 11 个单词顺序有误,前 11 个单词中的某一个单词不在 BIP39 词库中;
- 前 11 个单词中,某一个单词被改成了 BIP39 词库里的另外单词;
- 前 11 个单词都是对的,但第 12 个单词不在 BIP39 词库中。
以上三种情况均是由于你在起初备份助记词时记录错误导致的,建议你查找正确的助记词(正确的 BIP39 单词与正确的单词顺序)。
另外,如果你有保存私钥,也可以使用私钥来恢复钱包。
对去中心化钱包的五大常见误解
本文以 imToken 去中心化钱包为例,其他数字资产钱包情况可能会稍有不同,具体请询问相关钱包官方客服。
人与人之间,总是会产生一些误解,这些误解往往是由于彼此不了解造成的。同理,我们在接触新事物时,比如去中心化钱包,也存在这样的情况,加上区块链技术与我们使用的传统中心化服务有着很大的差异,使得这些误解在我们心中根深蒂固。
以下是新人在使用去中心化钱包时,会产生的五个常见误解,你有没有「中枪」呢?
误解一:我的资产都是「存」放在 imToken 钱包里
钱包最重要的功能就是管理资产,人们可以通过钱包进行转账或者收款等。这点与在中心化交易平台开设的账户功能类似,但不同的是:你的数字资产并不是存放在去中心化钱包服务商手中,你们之间没有任何的资产托管关系。
因为去中心化钱包并没有掌握你的钱包助记词,这与中心化平台有很大差别,你存放在中心化平台的资产由平台方控制和管理,用户不可能获得中心化平台地址的助记词等信息。
(图片来源:Dalby, Wendland & Co. News)
而你在使用去中心化钱包时,只是借助钱包应用进行资产管理,助记词和私钥等由你自己掌握,你可以通过私钥来授权并发起转账或者交易。
请牢记:谁掌握了助记词,资产就「存」在谁那。
误解二:转账填错地址,请客服给我退回
区块链上的钱包地址一般都是一串长字符,比银行卡号更复杂也更难记忆。
一般情况下,大家在转账时都是通过扫描二维码或者复制来获取收币地址,填错地址的情况比较少,但总有一些马虎的朋友会出错,比如复制了代币合约地址,导致资产转入错误的地址,而如果想退回这些错误转账,在大多数情况下都是不可能的。
区块链转账如果在链上已经成功了,就无法进行冻结或回溯,只能联系收币方退回。但由于匿名性,我们很难确认钱包地址主人的真实身份,如果将资产转入错误的地址,基本上可以宣告这些资产已经丢失了。
所以在转账前再三核对地址的正确性是十分重要的,大家可以借助钱包的一些便捷功能来确保地址准确,比如 imToken 钱包的地址本功能,将常用的地址记录在地址本里,下次转账的时候可以一键输入。
当然,你也可以使用 ENS 域名服务让自己的钱包地址简单易记。
误解三:我的资产金额不对,请 imToken 给我调整下
解答这类问题还是要从源头说起,首先我们要了解钱包内的资产信息从何而来?
你的所有数字资产其实只是链上一行行冰冷的数据,而且它原本的样子并不是那么讨人喜爱,就像下面这样:
除了程序猿,相信大部分人都看不懂这些代码。所以,为了方便大家更直观地看到自己的资产情况,程序猿们对这些数据进行了「易容术」处理,配上交互设计,使得它们更加直观也更美观。
我们已经知道钱包内每个地址对应的资产状况都是直接从链上抓取的,与区块浏览器的查询结果是一致的,只不过钱包以一种更友好的方式展示在用户眼前。当你觉得资产信息有误时,可以通过区块浏览器查询交叉验证自己的资产情况。
误解四:DApp 浏览器能访问的 DApp 都与 imToken 有关
要化解这个误会,我们首先要理解什么是「DApp 浏览器」。
暂且抛开前面四个字母不谈,说到浏览器,大家对于 Chrome、Safari、Firefox、IE 等常用浏览器应该不陌生,我们平时访问知乎、淘宝等网站都是通过这些网页浏览器打开的。那么,「 DApp 浏览器」的意思也就很明显了:用来访问 DApp 的工具。而 DApp 是区块链技术的天然产品,这样,DApp 浏览器就孕育而生了,而且大多数情况下作为原生功能嵌入在钱包应用内。
大家除了可以直接访问钱包接入的第三方 DApp,还可以通过 DApp 浏览器输入相关 DApp 的网址进行访问。但能够访问并不代表这个 DApp 与钱包服务商有关,这就好比你用 Chrome 浏览器访问了淘宝一样,虽然能够正常访问,但不能说明 Chrome 与淘宝有关系。
在这里温馨提醒下大家:许多诈骗 DApp 项目会利用这种信息差行骗,给用户营造一种该项目与钱包有关联的假象。
误解五:imToken 只能管理 ETH 资产
大部分用户对 imToken 的印象停留在 imToken 1.0,认为 imToken 只能管理 ETH 及ERC20 代币。经常有用户询问:imToken 什么时候支持 BTC?TRX?我想告诉大家:imToken 目前已支持 ETH,BTC,EOS,COSMOS,BCH,LTC,CKB,TRX,KSM,DOT,FIL,XTZ ,GOGE ,Osmosis 14 个主网,而且通过一组助记词就能够管理以上 14 个主网上的资产。 (imKey 暂时不支持 XTZ ,Osmosis 2 条主网)
本文参考自 imToken 帮助中心,imKey 硬件钱包适用于此内容。
EOS 钱包
入门
EOS 简介
EOS 可以理解为 Enterprise Operation System,是 Block.One 研发的一个区块链底层公链系统,EOS 的主要开发者为 BM (Daniel Larimer)。
从它设计诞生时就获得区块链行业的关注,作为公链项目,EOS 无论在设计模型还是在技术实现上,与 Bitcoin 以及 Ethereum 都有很大的不同,旨在实现分布式应用的性能扩展。了解更多
EOS 钱包
钱包是一种应用程序,可以便捷地保存和发送 EOS,同时可以通过钱包与 EOS 上构建的应用程序进行交互。
🔸钱包
🔸创建钱包之前,请学习如何备份钱包
EOS 买卖
获取 EOS 最简单的方式就是购买。市面上有许多可以购买 EOS 的数字货币交易所,但用户需要根据所处地址和付款方式选择合适的交易所。
🔸支持购买 EOS 的交易所
- Coinbase
- Binance
- ……
使用
EOS 交易
你也许希望通过代币兑换获得 EOS。市面上大多交易所都支持 EOS 交易,你可以根据需要选择去中心化交易所或中心化交易所。
🔸去中心化交易所 Tokenlon
Tokenlon 是基于 0x 协议的去中心化交易所,旨在为用户提供「速度快」「价格优」「币种多」的交易体验。交易代币完全由用户掌握,无需充值、提现,即可借助 Tokenlon 快速完成币币兑换。
🔸中心化交易所
由交易所托管用户代币 ,提供数字货币流动性供应,具有学习成本低、撮合效率高等特点。
- Binance
- Okx
- ……
EOS 转账
EOS 转账与中心化世界的银行转账有很大区别,这时你需要了解 EOS 转账机制和可能会遇到的情况。
你也许会好奇,EOS 转账不需要矿工费吗?为什么转账时会出现「资源不足」的提示呢?该部分会在下一模块「EOS 资源管理」详细介绍。
🔸EOS 主网未映射该如何转账
EOS 资源管理
EOS 采用抵押和租赁资源的方式,来获得 EOS 网络使用权。EOS 网络有三种资源:RAM、CPU、NET。
在 EOS 中进行转账、购买资源、抵押、赎回、投票等操作的时候, 可能需要消耗 RAM (内存),而RAM (内存) 必须通过购买方式获得。现在可以通过 imToken 买卖 RAM 资源,抵押获取 CPU、NET 资源。
EOS 投票
EOS 采用 DPoS 共识机制,该机制通过社区投票选举 21 个超级节点来维护 EOS 网络,为 EOS 网络提供算力、带宽以及存储支持。
学习
EOS 浏览器
EOS 区块浏览器是一个查询 EOS 区块、交易、EOS 代币、钱包地址等信息的网站,实时同步更新 EOS 所有节点信息
EOS 价格
安全与警示
查看所有 篇文章安全警示|TRX 多重签名骗局
摘要
近期,骗子通过假 imToken 等方式获取用户助记词,并修改 TRX 钱包账户权限,使用户只能转入代币而无法转出。该骗局被称为 TRX 多重签名骗局。用户应定期检查账户权限,并通过 imToken 官网下载软件,避免受骗。
近期,TRX 多重签名骗局异常猖獗,骗子通过诱导用户下载假 imToken 等方式获取用户的助记词,但是却不直接将用户的代币盗走,而是通过修改用户的 TRX 钱包账户权限,导致用户失去对账户内代币的控制权,只能将代币转入钱包,却无法转出。
本文将揭秘 TRX 多重签名骗局具体是如何实施的,以及我们该如何防范这类骗局。
什么是 TRX 多重签名骗局
当我们创建了一个 TRX 钱包后,这个钱包账户默认的拥有者权限为账户本人,阈值为 1,即钱包转账需持有一个拥有者权限的地址进行签名授权才能发起。
注:拥有者权限是指一个 TRX 账户的最高权限,具有该权限的地址可进行该账户内的所有操作。
而当骗子获取了用户助记词,对其 TRX 账户权限进行修改后,用户地址的拥有者权限变为用户本人和骗子共同持有,阈值为 2,即钱包转账需要两个拥有者权限的地址——用户的地址和骗子的地址,共同签名授权才能发起。
由于此时 TRX 钱包的转账需要多重签名(用户地址的签名和骗子地址的签名)才能完成,所以这类骗局被称为 TRX 多重签名骗局。
这就意味着,当用户的 TRX 账户被骗子更改为需多重签名的地址后,用户发起的任何交易,都需要骗子的签名授权才能完成,如果只是用户单方面发起交易,就会遇到类似「server:SIGERROR」的报错。
你可能会疑惑,为什么用户拥有自己账户的助记词 / 私钥,也无法「独立完成」代币的转出操作。
以合伙开公司的例子解释一下,你就明白了。假设有一家公司有两个合伙人,他们在这家公司成立之初规定:所有的重大决策要两个合作人都同意进行签名授权,即多重签名,才可以执行。若有一方不同意,决策则不通过。
被骗子修改为多重签名的 TRX 账户就像是这样一家公司,即便用户持有钱包助记词,但也已经无法「独立完成」对这个钱包的转账等重大操作。
用户只能将代币转入这个账户,却无法转出,骗子就是利用这一点从而「放长线钓大鱼」,等到用户在账户中积累了足够的代币后再一次性盗走。如果一个用户从来都是只收款不转账,且不去链上查看自己的账户权限,那他可能会一直蒙在鼓里并持续地向这个账户转钱。
另外,骗子除了通过诱导用户下载假 imToken 方式外,还会通过以下两类方式利用多重签名诈骗:
- 在 Telegram 等社交平台推广充值网站,诱导用户使用数字代币进行充值,实际上是趁用户充值时获取账户的拥有者权限,导致用户失去对账户的控制权;
- 在 Telegram、微信等社交平台公开自己的助记词 / 私钥,诱导用户转入 TRX 作为手续费以转走钱包内的代币,但实际骗子早已将拥有者权限转移,最终导致用户损失 TRX。
安全提醒
imToken 安全团队在此提醒大家
- 下载 imToken 请认准官网 :https://token.im/
- 天下不会有免费的午餐,切莫贪小便宜
- 定期检查 TRX 钱包账户权限(👇 附有教程)
如何查询账户权限
1. 打开 TRX 钱包,切换至「浏览」页面输入 TRONSCAN 并打开。
2. 在输入框输入钱包地址并搜索,跳至账户信息页面并下滑至「账户权限」板块。
3. 如图所示,如果有且只有你的地址持有拥有者权限,说明你的账户权限是安全的。
安全警示|域名名称代币骗局
摘要
近期,有用户反馈 TRX 钱包内收到域名名称代币,这些代币诱导用户访问钓鱼网站以获取转账权限。imToken 与 Tronscan 屏蔽了 370 个此类代币,提高了钱包页面整洁度并防止用户受骗。收到这类代币请勿访问,并通过 App 内「帮助与反馈」举报。
近期,有用户反馈 TRX 钱包内收到了若干域名名称代币,例如:365haxi.com。骗子利用这些代币来诱导用户进入对应的域名网址,并将网站包装成博彩或者质押网站等等,引导用户参与,实际上是想获取用户的代币转账权限,从而盗取用户的代币。
imToken 联合 Tronscan 风控部门针对 TRX 钱包中的此类代币,建立了一套完善的屏蔽流程,提交并屏蔽了 370 个域名名称代币,一方面提升了 TRX 钱包页面的整洁度,另一方面避免用户点击进入对应钓鱼网站从而损失代币。
imToken 团队在此提醒大家:如果收到这类代币,不要访问对应的网站!并立刻通过 App 内「帮助与反馈」联系我们进行举报!
安全警示|相同尾号地址骗局
摘要
骗子利用伪装地址欺骗用户,通过生成相同尾号的地址并进行小额转账,使用户误以为是常用地址而转账。imToken 提醒用户转账前务必仔细核对地址,并建议使用地址本功能保存常用地址,防止转错地址。
骗子利用用户转账时复制交易记录中地址的习惯,生成相同尾号的地址作为伪装地址,并利用伪装地址向用户小额转账,使得骗子的地址出现在用户的交易记录中。
例如下图:用户经常转账的地址为「TUahsb…JjXyp3」,伪装地址为「TSeqQh…sjXyp3」,它们有相同的尾号「jXyp3」。
若用户从交易记录中复制地址进行转账时,只核对了尾号,则很容易错误复制成骗子的伪装地址,不小心转账后就会造成代币损失。
imToken 团队在此提醒大家:由于区块链技术不可篡改的特性,链上转账一旦成功,则无法进行取消、撤回等操作,所以转账前请务必仔细核对地址!
另外 imToken 推荐你使用地址本功能,将一些常用的地址进行保存,防止转账时转错地址。
如何使用地址本转账
设置地址本
打开 imToken 钱包,并依次点击「我」-「地址本」找到地址本功能,点击右上角「+」即可添加 12 条公链的地址。
注:设置后,请检查地址准备无误后再使用。
使用地址本转账
这里以在 TRX 钱包转账 USDT 为例。选择 USDT 代币并点击「转账」进入转账页面,点击右侧的图标进入地址本选择地址,输入转账金额并确认转账信息后,点击「下一步」输入密码即可转账。
安全提醒|请警惕代币授权骗局
摘要
授权骗局是指通过诱导用户进行转账、质押等操作,骗取用户的代币转账权限。骗子通常通过购买虚拟物品、二维码收款、假借「质押挖矿」等方式进行诈骗,导致用户钱包内的代币被盗。用户需提高警惕,妥善管理转账权限。
什么是授权骗局?
近期诈骗案件频发,请大家务必提高警惕以防代币损失!今天这篇文章要剖析的授权骗局就是诈骗案件中的一个典型。
|我在网店购买 TikTok 账号,付款提示交易失败,还扣了我的 TRX,然后我的 U 无缘无故消失了。
|朋友给了我一个收款码,我扫码只支付了 1U,然后剩下的币就被盗走了。
|有人告诉我可以通过 imToken 钱包参与 XXX 代币质押获得高额收益,我点击确认同意了,结果钱包里剩下的币在我不知道的情况下都被人转走了。
在没有你同意的情况下,骗子凭什么能转走你的代币?骗子凭借的是你不经意间给他的转账权限,当他诱骗你进行转账 / 质押的同时,把代币转账权限也骗到了手。
那么,代币转账权限到底是什么呢?举个例子。
支付宝里有个亲密付功能,当我对家人开通这个功能后,他们购买物品时就会直接通过我的账户进行扣款。即便家人不知道我的支付宝密码,也能使用我账户里的钱。
类似的,当你把代币转账权限给了「朋友」后,对方即便不知道你的助记词和支付密码,也能转走你钱包里的代币。而很多人由于不了解代币转账权限的含义,在给出这个权限时,往往不自知,所以这类骗局发生得很隐蔽,且越来越多人上当。
骗子通常会以这几种方式骗走你的转账权限:诱导购买虚拟物品、二维码收款和假借「质押挖矿」名义的资金盘。
方式一:诱导购买虚拟物品
当你在购买账号、短信接码等网店中购买虚拟物品付款时,网店会让你点击跳转到数字货币钱包中进行付款。
支付时,如果你进入的是一个「授权代币转账权限」的页面,就说明你正发起的不是普通转账交易,而是授权交易。如果你在骗子伪造的付款链接中输入密码签名,便会将对应代币的转账权限授权给骗子的地址。骗子利用你给的权限可转走你钱包里对应的代币,无需经过你的允许。
此外,付款后诈骗网站页面通常会弹出例如支付失败、TRX 不足、网络异常、流水不足等提示,会让你误以为没有付款成功,更换其他地址或者转入更多的代币继续授权。其实这是骗子在其诈骗网页中设置的弹窗,不是钱包 App 本身对用户的提示,骗子的目的是获取你更多代币的转账权限。
方式二:二维码收款
骗子会发给你一个链接或假冒钱包收款的二维码,你扫码后会进入假冒的转账页。一旦你在该页面中进行了「转账」,骗子的计谋就得逞了。
请注意,扫码后你可以通过查看页面右上角的图标,区分真假转账页面和二维码。骗子制作的转账页面右上角为「···」和「X」的图标,大部分钱包内的正常转账页面右上角是扫描二维码的图标。
左:骗子仿冒的 USDT 转账页面;右:真的 USDT 转账页面
方式三:假借「质押挖矿」名义的资金盘
骗子假冒钱包客服,告诉你通过钱包进入某个网站参与质押挖矿,存入 USDT 即可获得每天 1% 的收益,存入的代币数额越多,收益率越高。有些骗子甚至会告诉你无需存入代币,只需支付一点矿工费就可以获取稳定的收益。
当你被高额收益吸引,打开骗子网站参与其中时,通常你会看到一个「授权代币转账权限」的页面,在授权代币的额度这里写着无限额度或者 99999……一个接近无限大的数字。若你仍选择确认操作并签名,骗子就获得了转走你钱包中所有对应代币的权限。
imToken 优化签名体验
针对以上这三类骗局,imToken 已经优化了签名体验。当你签名此类交易时,imToken 会明确提示你正在执行「授权代币转账权限给智能合约」的操作,并显示你授权的代币额度。我们建议你在交易时保持警惕。此外,如果授权对象是个人地址,imToken 会警告你交易存在安全风险,提醒你请勿参与,避免资产损失。
安全提醒
- 警惕短信接码、购买账号、虚假交易所、高收益或保证盈利等网站。
- 请勿在不明链接上进行支付或转账。认清授权交易与普通交易的区别,识别无限额度恶意授权交易页面,不随意输入密码授权。
- 谨慎授权。在授权页面上需先确认合约地址,并通过区块浏览器查询合约标签和交易记录等信息,以辨识合约地址的真实性。
那么如何检查自己的代币转账权是否有外泄的情况,以及如果外泄了该怎么应对呢?
授权查询和取消
代币授权骗局主要发生在以太坊和波场上,因此本文提供 ETH 和 TRX 两类钱包的授权查询和取消的教程。
TRX 钱包
准备
确保钱包地址中至少有 30 个 TRX。若没有,你可以通过交易所提币至自己的 TRX 钱包地址。
手把手教程
1. 打开 imToken 内的 TRX 钱包,将首页的功能栏向左滑动,点击「授权管理」按钮,进入「TRONSCAN」页面自动连接钱包,查询授权。
TRONSACN:可查询和处理 TRX 钱包授权的工具。如果你无法打开此页面,请切换手机网络后再尝试打开。
2. 进入 TRONSCAN 后如果页面是英文,可点击右上角菜单栏,再点击最下方「Preferences」( 即偏好设置)-「简体中文」-「Save」(即保存)进行语言切换。
3. 将页面向下滑动,点击「授权列表」即可查看你授权的地址和数量。如果列表中有不明地址,并且你自身也不了解该地址的控制方,那么这很有可能是骗子地址。请点击授权记录右侧的▼ 展开详情,点击「取消授权」并在弹窗页面中再次确认,发送取消授权交易。
4. 取消授权后,请确认授权记录的状态为「已取消」且当前授权数量为「0」。
ETH 钱包
确保钱包地址中有至少 0.02 个 ETH。若没有,你可以通过交易所提币至自己的以太坊钱包地址。
注:提币时请选择 ETH(ERC20) 网络通道。
手把手教程
1. 打开 imToken 内的 ETH 钱包,将首页的功能栏向左滑动,点击「授权管理」按钮,进入「Revoke」页面自动连接钱包,查询授权。
Revoke.cash:授权(Approve)管理 DApp,已支持管理以太坊、Arbitrum、Optimism、BSC、Polygon、Avalanche 等网络中的授权。在该页面点击以太坊图标进行网络切换,即可查看对应网络的授权详情。
2. 将页面下滑至底部就可以看到该账户授权情况,在授权金额、被授权人(Spender)、上次更新列表中查看你的授权数量、地址以及时间。
如果想要取消某个授权,在授权记录列表中找到要取消授权的代币或 NFT,然后向左滑动,点击「撤销」并在弹窗页面中再次确认即可发送取消授权交易。
3. 取消授权的交易发出后回到钱包首页,点击「记录」可查看该交易状态。当状态从「等待确认」变为「成功」,说明你已成功取消授权。
4. 如果想要更改代币授权金额,可以点击金额右侧的「✏️」图标进行修改,填好数值后点击「更新」并在弹窗页面再次确认即可。
在上图的中间这张截图中,我们可以看到被授权人(Spender)一栏显示有 Uniswap、Aave 等。这是因为当我们在 DEX 中交易时需要先进行代币转账授权,其目的是让 DEX 获得代币的转账权限,方便完成后续的代币兑换。
但是,如果你发现被授权人(Spender)这一列有不明地址,并且你自身也不了解该地址的控制方,那么这很有可能是骗子地址,请立刻取消授权。
温馨提示:如有任何问题,请通过 App 内「帮助与反馈」联系我们获取帮助。
最后
为了保障用户钱包安全、打造优质加密生态,imToken 致力于普及安全资讯并提供解决方案。
imToken 是一款有温度、有责任的区块链代币管理工具,有严格的安全审计和风控措施保障用户钱包安全,遍布 150 多个国家,超千万区块链爱好者的选择。
imToken 官方下载链接:https://token.im/download
安全提醒|请警惕 TRX 钱包账户权限更改骗局
摘要
近期出现的 TRX 钱包账户权限更改骗局中,骗子诱骗用户使用其提供的助记词,实际上通过更新账户权限,将用户的最高权限转移到骗子手中,导致用户无法转账。用户需提高警惕,不要接受他人提供的助记词,并通过官方渠道下载 imToken 确保安全。
什么是 TRX 钱包账户权限更改骗局?
区块链行业兴起以来,不乏盗币、诈骗等安全事件。比如代币授权骗局、假官网和假应用,以及钓鱼链接等,骗子利用普通人的知识盲区设计了各种圈套,令人防不胜防。
近期骗子套路全新升级,竟将自己的助记词公之于众来诱骗用户。这究竟是什么情况,本文我们将来揭秘一种新骗局:账户权限更改骗局。
5 月中旬起,多名 imToken 用户反馈,TRX 钱包在转账时会出现乱码报错的提示(如下图所示)。
通过查询链上数据,我们发现这些用户地址都有一个共同点,即有下图中「更新账户权限」的交互记录。
点开查看详情,可以看到「发起地址」把「拥有者权限」转给了地址 B。这意味着,发起地址如果想要转账,需要得到地址 B 的同意。
这里的「发起地址」是指用户的 TRX 钱包账户,一个账户通常包含两种权限:「拥有者权限」和「活跃权限」。
- 拥有者权限是账户的最高权限,具有该权限的地址可进行该账户内的所有操作;
- 活跃权限提供某些操作的组合,比如你可设置一个活跃权限仅能执行 TRX 转账、冻结资产的操作。
由于用户的 TRX 钱包地址更新了账户权限,将自身账户的最高权限,即拥有者权限,转给了另一个地址 B,所以后续用户的地址发起转账时收到了报错提示。
那么用户的钱包地址怎么会无故出现「更新账户权限」的情况?
根据用户反馈,我们了解到这些钱包的助记词并不是用户自己的,而是别人给他们的。
比如,用户小王借给网友 1000 元,网友表示可以用自己的加密货币来交换,就给了小王一套钱包助记词。
小王导入助记词后,成功进入钱包页面并看到了代币,但要发起转账时,却出现了开头提到的的报错情况,这才意识到,自己可能被骗了,但代币已经有去无回了。
网友在给小王助记词之前,进行了「更新账户权限」的操作。即便你拥有助记词也无法转账,因为账户的最高权限在骗子网友手里,代币依旧由骗子掌控。
除了通过助记词抵债来行骗,骗子还会通过诱导用户下载假 imToken 等方式窃取助记词并更改用户的 TRX 钱包账户权限,导致用户失去账户的控制权。用户只能将代币转入钱包,却无法转出。
安全提醒:
- 如有人向你借钱并提出用助记词抵债,请提高警惕,对方很有可能是骗子!
- 下载 imToken 请认准我们的官网 https://token.im,并妥善保管助记词,避免泄漏。
最后
为了保障用户钱包安全、打造优质加密生态,imToken 致力于普及安全资讯并提供解决方案。
imToken 是一款有温度、有责任的区块链代币管理工具,有严格的安全审计和风控措施保障用户钱包安全,遍布 150 多个国家,超千万区块链爱好者的选择。
imToken 官方下载链接:https://token.im/download
安全建议|如何安全保管数字钱包
本文将介绍去中心化钱包在使用过程中常见的安全问题,包括未妥善备份助记词、误将转账权限授权给恶意合约、遭遇诈骗事件和黑客攻击等。针对每个问题,本文提供了详细的应对策略,帮助用户更好地保护自己的数字资产。
随着加密代币的普及,去中心化钱包因其高自主性和安全性而受到广泛使用。然而,使用去中心化钱包也存在一些安全风险。本文将详细介绍这些常见问题,并提供相应的应对策略,帮助用户更好地管理和保护自己的数字代币。
1. 未妥善备份助记词
去中心化钱包不会保管用户的助记词,一旦丢失就无法找回。据统计,代币丢失最常见的原因之一就是用户没有妥善保管钱包助记词。如果助记词丢失或保管不当,钱包中的代币可能会永久丢失。另外,如果助记词保管不当,里面的代币很容易被他人获取。
应对策略:
- 使用钱包前请务必仔细确认助记词的正确性并妥善备份;
- 尽量采用物理介质备份助记词,例如抄写在纸上或使用助记词密盒,以确保助记词的安全;
- 确保全过程安全保管的前提下,可做必要的灾备,避免助记词单点备份的风险。
2. 误将转账权限授权给恶意合约
授权操作通常发生在使用 DApp 交互过程中。请务必谨慎授权,因为如果授权对象为恶意合约,钱包内的代币可能会被转移而不需要钱包拥有者的确认。DApp 生态鱼龙混杂,随意授权可能会导致资产损失,只能通过提高自身的安全意识来规避这类风险。
应对策略:
- 审核合约源代码:可以寻找专业的审核员对合约代码进行审核,确保它的安全性;
- 使用可信的合约:尽量选择知名可信任的合约;
- 定期检查钱包授权情况:若发现钱包授权与陌生合约,请尽快取消授权; 推荐授权查询和取消网站 https://revoke.cash/zh;
- 明智地使用转账权限:请不要轻易授权转账权限,并且在确定授权后请保持警惕,随时准备取消授权。
3. 遭遇诈骗事件
骗子的诈骗手法层出不穷,警惕性不高的用户常常在不经意间就被骗子获取了助记词或代币转账权限,导致代币被盗。
应对策略:
- 保护好助记词/私钥:任何要求你提供助记词/私钥的短信/电话诈骗都不可信;
- 不要轻易点击未知的链接或下载未知的软件:可能是黑客伪装的钓鱼网址;
- 注意网站安全:应选择正规的网站,并确保网站的安全证书是有效的;
- 定期监控账户:定期查看钱包账户,以确保账户安全;
- 咨询专业机构:如果遇到诈骗事件,可以咨询专业的机构或警方。
4. 遭遇黑客攻击
在区块链上,助记词代表着资产所有权。一旦他人获取了你的助记词,就能在其他设备上导入助记词并盗取你的代币。因此,最重要的就是确保安全生成助记词并做好备份。
应对策略:
- 使用离线的硬件钱包生成并保存私钥以提高安全性,不要在联网的移动设备上保存以避免被黑客攻击和窃取;
- 只从官方渠道下载钱包软件和应用程序,不要下载未经验证的软件以避免安全风险和恶意软件窃取您的数字资产或其他敏感信息;
- 不要复制和粘贴钱包助记词或私钥,手动输入以提高安全性。同时,不要进行设备越狱或 root,以避免黑客利用漏洞窃取您的数字资产或其他敏感信息。另外,不要访问陌生链接以避免受到钓鱼攻击和数据泄露的风险,只访问已知的和受信任的链接。
其他建议
1. 做好冷热钱包隔离
热钱包(如 imToken)易于使用,但使用者需要具备良好的安全意识,硬件钱包(如imKey)通过安全芯片从硬件层面最大程度地保障私钥的安全,对新手更加友好。建议小额资产使用 imToken 软件钱包,大额资产使用 imKey 硬件钱包,软硬结合可在保证良好用户体验的同时最大程度地保障资产安全。
2. 定期更新软件和操作系统
定期更新或升级设备上的软件和操作系统,以修复漏洞或错误,避免被黑客攻击。
3. 管理设备上的应用
限制应用的自启动设置,彻底删除不需要的应用,不安装来源不明的程序。避免安装包含远程桌面查看功能的应用,因为不法分子可能会通过窥探桌面来盗取助记词或私钥。
4. 禁用云存储功能
切勿使用自动云功能将敏感数据上传到在线帐户,以避免因云端数据泄露造成敏感信息泄露的风险。
5. 使用强密码
设置由大写字母、小写字母、数字和特殊字符组成的强密码,并定期更改密码。
去中心化钱包为用户提供了更高的安全性和自主性,但也存在一些安全风险。通过了解这些常见问题并采取相应的应对策略,用户可以更好地保护自己的数字资产。
最后的建议,在区块链黑暗森林世界里,永远牢记下面这两大安全法则:
- 零信任。简单来说就是保持怀疑,而且是始终保持怀疑。
- 持续验证。你要相信,你就必须有能力去验证你怀疑的点,并把这种能力养成习惯。
体验 Web3 项目
查看所有 篇文章imKey RAW NFT 购买和实物交割教程 (RareShop)
通过此教程,你将了解如何在 RareShop 上购买 imKey 硬件钱包的 RWA NFT,并进行实物交割。
一、RWA NFT 项目概述
RareShop 与 imKey 硬件钱包品牌合作,基于 ERC7765 资产协议标准在 Mint 网络上发行 imKey 硬件钱包全家桶套餐商品的 RWA NFT。该 NFT 定价 $139,购买后用户可以选择进行实物交割、礼品赠送,并有机会获得 Mint 生态的空投奖励。
RareShop 提供一站式 Web3 数字化技术解决方案,支持加密支付、隐私保护、商品预售等功能。
重要链接:
二、详细购买和交割步骤
1.跨链资金至 Mint Blockchain
利用 Mint Blockchain 的快速跨链桥,用户可以以极快速度、低费用和强大安全性将资产转移至 Mint,确保高效转移同时保持强大的安全性及低费用。
🍀 使用 Mint 快速跨桥的步骤
- 访问官方网站: 前往 Mint Blockchain 网站的跨链桥页面。
- 连接您的钱包: 点击「连接钱包」按钮并按照提示连接您的钱包。
- 选择链: 选择您要从中转移资产的区块链和 Mint Blockchain。
- 完成转移: 输入您要转移的金额并确认交易。
🍀 提示
2.在 RareShop 上购买 imKey RWA NFT
- 前往购买页面。
- 连接您的钱包。
- 使用 139 USDT 或 USDC 购买 imKey RWA NFT。
- 如果您是 MintID 或已激活 GreenID NFT 持有者,将获得 15 美元的现金返还。如果您是 Mint 生态系统的新用户,并且是前 5,000 名用户之一,您的帐户将获得 15 美元的优惠券,可在 RareShop 上的下次购买时使用。
3.实物交割
- 前往实物交割页面。
- 请完成所需的配送资讯的填写。配送费用将根据您的配送地点计算。如果您的国家/地区未列在我们的配送选项中,请选择「其他」并提供您的国家/地区详细资讯,我们将统一收取 40 USDT 的配送费用。
通过以上流程,你可成功购买和行权 imKey RWA NFT,并享受链上购物的全新体验。
如何使用 imKey Pro 进行 Tokenlon 闪兑?
本文手把手教你如何使用 imKey 在去中心化交易所 Tokenlon 进行币币兑换。
imKey 除了安全存储资产外,还支持使用 Tokenlon 的闪兑功能进行币币兑换。
什么是 Tokenlon?
Tokenlon 是去中心化交易支付结算协议,能够为用户提供「速度快」「价格优」「币种多」的去中心化币币兑换服务。
如何使用 imKey Pro 进行 Tokenlon 闪兑
- 打开 imKey 的 ETH 钱包并进入「市场」界面。在市场页面,设置好要兑换的代币和数量后点击「预览订单」。
- 阅读 Tokenlon 服务条款后,点击「我已阅读并同意《Tokenlon 服务条款》」,并确认。
- 确定订单信息无误后,点击「请求 imKey 确认」,并用 imKey 签名确认。耐心等待,直至兑换成功。
注:签名过程需要进行多次确认。
注:如提示「订单已过期,请重新下单」,则说明该交易申请已超时,需要重新点击「请求 imKey 确认」并用 imKey 完成签名。
- 返回 ETH 钱包,查看资产是否到账。若没有,点击「+」-「我的所有资产」,再点击代币右侧的「+」号,将代币添加至钱包首页。
如何在 imKey 使用 Orbiter Finance?
摘要
要在 imKey 使用 Orbiter Finance 进行跨链资产转移,请打开 imKey,切换到 Ethereum 网络,搜索并打开 Orbiter Finance 应用。选择要转移的代币和网络,输入金额,点击确认并在硬件设备上完成签名。等待交易完成后,切换到目标网络查看资产。如果遇到问题,联系 Orbiter Finance 官方支持。
什么是 Orbiter Finance?
Orbiter Finance 是一个去中心化跨链桥应用,提供低成本和几乎即时的资产跨链,是以太坊 Layer2 的基础设施之一。目前支持 Ethereum、zkSync Era、zkSync Lite、Polygon zkEVM、Polygon、Arbitrum、Arbitrum Nova、Loopring、Optimism、Immutable X、Starknet 以及 BNB Chain 之间的资产跨链。
点击了解 更多关于 Orbiter Finance 的信息。
如何使用 Orbiter Finance 进行资产跨链?
你可以通过 Orbiter Finance 在不同的区块链网络之间转移资产。本文以 ETH 从 Ethereum 网络跨链到 zkSync Era 网络为例进行操作,具体步骤如下:
- 打开 imKey 钱包,点击「跨链」找到「Orbiter 」并打开改应用。
- 点击「确认」,同意该应用访问钱包地址。
- 选择要跨链转移的代币,以及发送和接收资产的网络。
- 输入要转移的代币数量后,依次点击「SEND」-「CONFIRM AND SEND」-「请求 imKey 确认」,最后在硬件设备上完成签名确认。
- 等待状态从 「Processing」 变成 「Completed」,并且下方出现三个绿色完成图标时,说明交易已完成。返回 imKey 首页切换到 zkSync Era 网络,即可看到资产。
如果使用 Orbiter Finance 遇到问题,请联系 Orbiter Finance 官方咨询:
- Discord:http://discord.gg/orbiter-finance
- Twitter:https://twitter.com/Orbiter_Finance
最后
imKey 是由 imToken 孵化的专业硬件冷钱包,与 imToken 深度集成并且同样支持 Layer2 生态。如果对钱包的安全性有更高的要求或需要存储大额资产,强烈推荐使用 imKey 硬件钱包。imKey 将为你提供卓越的安全性和便捷的使用体验。
风险提示:本文内容均不构成任何形式的投资意见或建议。imToken 对本文所提及的第三方服务和产品不做任何保证和承诺,亦不承担任何责任。代币投资有风险,请谨慎评估该等投资风险,咨询相关专业人士后自行作出决定。
手把手教你使用 Feee.io 进行能量租赁
摘要
Feee.io 是一个在 TRON 区块链上的能量租赁平台,用户能够在这个平台从 TRX 质押者以较低的成本获取所需的能量,从而有效降低自己账户中 TRX 的燃烧以及减少转账 USDT 时消耗的手续费。
Feee.io 是什么?
Feee.io 是一个在 TRON 区块链上的能量租赁平台,用户能够在这个平台从 TRX 质押者以较低的成本获取所需的能量,从而有效降低自己账户中 TRX 的燃烧以及减少转账 USDT 时消耗的手续费。
能量租期可选择 1 小时至 1 个月不等,点击了解更多关于 Feee.io 的信息。
如何在 imKey 中使用 Feee.io?
1. 打开 imKey 钱包,切换到 TRON 账户,在功能栏点击「能量租赁」进入 Feee.io。
注:如果进入显示的是英文界面,你可以点击页面右上角,切换语言为简体中文
2. 接收方默认为当前账户地址,输入需要租用的能量数以及租赁时间,点击「支付」并在弹窗页面再次确认支付,等待订单完成,能量就会发放至对应账户。
常见问题
Q1. 支付成功后,能量什么时候到账?
答:付款完成后,能量会在几分钟内到账。由于广播延迟等原因,极少数情况,会存在 5 到 10 分钟的延迟。
Q2. 能量使用后多久能恢复?
答:能量使用后将会在 24 小时内恢复。
Q3. 如果我想租赁带宽的话,我应该如何租赁?
答:你可以在 Feee.io 左上角的菜单栏中进入「交易市场」,点击「购买」选择带宽,按照需要的数量以及时间进行租赁。
Q4. 订单可以撤回吗?
答:订单生成后,暂不支持撤回。
Q5. 订单生成失败但仍扣除了代币,怎么办?
答:你可以发送邮件至 service@feee.io 或者在 Telegram 上联系 Feee.io 的官方客服 @trongascom。
风险提示:本文内容均不构成任何形式的投资意见或建议。imToken 对本文所提及的第三方服务和产品不做任何保证和承诺,亦不承担任何责任。代币投资有风险,请谨慎评估该等投资风险,咨询相关专业人士后自行作出决定。
如何使用 imKey 参与非托管 ETH 质押?
如果你持有 32 个及以上的 ETH,即可选择使用 imKey 参与非托管 ETH 质押,本文将手把手教你如何操作。
imKey 硬件钱包现已正式支持通过 imToken 参与非托管 ETH 质押。
imToken 的「非托管」方案适合对资产安全有较高要求的用户,该方案让质押用户在获取稳定收益的同时,最大程度地保证用户对质押资产的所有权和控制权,且无需操心验证节点的运维服务。
如果你持有 32 个及以上的 ETH,即可选择非托管质押方案,在以太坊共识层上拥有一个属于你的验证节点。
使用 imKey 参与非托管 ETH 质押
- 打开 imToken,点击左上角的导航栏进入「选择账户」界面,再点击 imKey 硬件钱包的 ETH 账户。
- 在 imKey 的 ETH 账户首页点击「质押」进入以太坊质押界面,再点击「质押」。输入要购买的验证器(即验证节点)数量,一个验证节点需要存入 32 个 ETH。确认验证器数量后,点击「下一步」进入费用确认页面。
- 选择 imKey 的 ETH 账户地址,进行费用确认。费用分为 4 部分:
- 质押金额:每个验证器需要质押 32 个 ETH;
- 运维服务费:InfStones 维护节点运行的服务费 0.2 ETH / 台 / 年;
- 区块奖励分成费:每次产生额外的区块奖励收入时自动按比例分配,80% 分配给验证器,20% 分配给服务提供商;
- 矿工费:发送这笔交易所需的矿工费,该费用取决于以太坊网络实时情况。
注:当前运维服务费为 0.2 ETH / 台 / 年,购买时请以产品端显示的费用为准。
- 提前了解并确认风险条款,确认无误后勾选条款,同时请注意:
- imKey ETH 账户的助记词将用于取回共识层上质押的资产,因此请务必安全备份助记词。助记词一旦丢失,则无法取回存入的 ETH 本金和累计收益。
- 助记词备份,推荐使用 imKey 不锈钢助记词密盒。
- 确认条款后会唤起「在 APP 内签名」界面,点击「请求 imKey 确认」,同时在 imKey 上确认授权签名。
- 等待「创建验证器」完成后,进入请求质押步骤,点击「请求 imKey 确认」,同时在 imKey 上确认支付信息、收款地址及支付矿工费。
- 等待共识层的确认及验证器的激活
- 交易成功后等待共识层的确认,预计等待时间为 12~18 小时。
- 交易在共识层上确认后,验证器将处于「排队中」即等待被激活的状态,等待时间取决于网络中等待激活的验证器数量,共识层每天可激活 900 个验证器,截止发稿,等待激活时间约为 4 天。
- 当验证器显示「活跃」的状态代表已激活,验证器开始工作并产生收益,此时你可在以太坊质押界面查看收益率、累计收益等详情。
- 信标链浏览器:
收益说明
以太坊质押收益由两部分组成:
- 质押奖励:验证器在以太坊共识层完成区块验证和构建工作,即可获取此奖励。
- 区块奖励:当验证器被选中构建特定区块时,可获得对应区块中所有交易的矿工费,另外还可通过区块拍卖市场获取额外的拍卖收入。
你可以通过博客文章:「了解非托管 ETH 质押服务的收益组成」了解更多相关信息。