GM/GN, how can we help you?

搜索

imKey 學院

imKey 公告

查看所有篇文章

imKey × GoPlus 「买硬件，送护甲，安全 1+1」主题安全月正式开启！

在这个充满不确定性的加密世界里，安全，永远是第一位。
本月，imKey 携手 GoPlus，为你带来一次双重防护的安全行动。🛡️🛡️

活动主题

买硬件，送护甲，安全 1+1

imKey 硬件钱包，守护你的私钥安全；
GoPlus Security，一站式 Web3 安全防护。
双防线加持，让你的加密旅程更安心。

活动时间

2025 年 11 月 7 日 – 12 月 6 日（UTC+8）

活动内容

1️⃣ 买硬件，送护甲
活动期间，在 imKey 有赞官方商城购买 imKey Pro 硬件钱包，
即可获得 GoPlus 高级护甲（1 个月免费使用）空投。

🪪 领取方式：
扫描随硬件钱包附赠的《钱包使用安全手册》内二维码，登记钱包地址领取空投。

2️⃣ 安全知识问答
在 Twitter 参与「安全知识问答挑战」活动
即有机会赢取：
🎁 imKey x GoPlus 联名 S1 密盒
🎁 GoPlus 高级护甲空投

为什么是安全 1+1

imKey Pro：内置 EAL6+ 安全芯片，离线生成与存储私钥，彻底隔离网络风险。
GoPlus：实时检测风险地址与智能合约，防范钓鱼、诈骗与恶意 DApp。

双防护协同，资产管理更安心。

参与方式

🔹 购买入口：imKey 有赞官方商城

🔹 活动详情：关注 @imKeyOfficial 与 @GoPlusZH

🔹 连接指南：imKey 连接 Goplus 教程

🔹 空投领取指南：免费领取 GoPlus 高级护甲（imKey × GoPlus 联合活动）

活动最终解释权归 imKey 所有。

imKey 团队

2025 年 11 月 7 日

重要声明：imKey 仅销售实体安全硬件产品，不提供任何虚拟资产交易、托管或资金相关服务。网站中提及的第三方钱包、交易所或去中心化应用仅用于说明产品可配合使用，相关功能与服务均由第三方独立提供。

项目概述

imKey 为用户提供区块链安全产品及解决方案。 imKey 于 2018 年创立，核心成员来自区块链钱包、金融机构和安全硬件厂商等，具有嵌入式安全和加密货币背景且互补。创立之初，imKey 即获得全球知名区块链钱包 imToken 天使投资，长期专注于加密资产安全领域研究。

业务范围

网站和应用程序: *.imkey.im
源代码(Github)：
- https://github.com/consenlabs/imkey-core
- https://github.com/consenlabs/imkey-manager
物理硬件：imKey硬件钱包

奖励规则

赏金计划会由 imKey 团队来判定赏金的数量，诸如影响的严重程度，条件资格等相关条件
公开披露漏洞没有资格获得赏金，需透过 support@imkey.im 来递交申请
若问题曾经由他人回报或已知，则不符合赏金奖励条件
需要提供文件或步骤来重现漏洞的实现

奖励标准

赏金的数量主要由风险的严重性来衡量

严重程度	描述	赏金
Critical (严重漏洞)	严重级别的漏洞会对项目的安全性产生重大影响。	$5000-$10000
High (高危漏洞)	高危漏洞会影响项目的正常运行。	$1000-$5000
Medium (中危漏洞)	中等严重程度的漏洞会影响项目的运行。	$500-$1000
Low (低危漏洞)	低危漏洞在某些情况下可能会影响项目的运行。	$10-$500

其他衡量标准

除了严重程度，下列因素也是我们考虑赏金数量的标准

对漏洞有明确的描述
提供测试代码或指令来重现漏洞
提供如何修正漏洞

报告规则

奖励或表彰的前提是imkey 安全团队能够重现并验证问题，并且安全影响是明确的；
重现步骤需要清晰明确，可以包括屏幕截图、视频、脚本等；
不要对他人进行社交工程和网络钓鱼；
不要泄露漏洞的详细信息；
请勿使用扫描仪进行大规模扫描。如遇业务系统或网络故障，将依法处理；
测试此漏洞的人员应尽量避免直接修改页面、持续弹出消息框（建议使用日志进行 XSS 验证）、窃取 Cookie 以及获取攻击性载荷（例如用户信息）（盲测 XSS 请使用 DNSLog）。如果您不小心使用了攻击性载荷，请及时删除。
漏洞测试仅限于概念验证（PoC），严禁进行破坏性测试。如果在测试过程中意外造成损害，应及时报告。同时，测试中执行的敏感操作，例如删除、修改等，需要在报告中加以说明。

处理流程

报告阶段

报告者联系 imKey 团队邮箱或是通过官方提交安全漏洞。(状态：待审核)
- 邮箱：support@imkey.im

处理阶段

三个工作日内，imKey 团队会确认收到的威胁情报，并开始跟进评估问题，同时将情报反馈给 imKey 技术团队。(状态：审核中)
七个工作日内imKey 技术团队处理问题、给出结论并计分 (状态：已确认/已忽略)。必要时会与报告者沟通确认，请报告者予以协助。

修复阶段

imKey 业务部门修复威胁情报中反馈的安全问题并安排更新上线 (状态：已修复)。修复时间根据问题的严重程度及修复难度而定，一般来说，严重和高危问题 24 小时内，中危问题三个工作日内，低危问题七个工作日内。客户端安全问题受版本发布限制，修复时间根据实际情况确定。
报告者复查安全问题是否修复。(状态：已复查/复查异议)
报告者确认安全问题已修复后，imKey 技术团队告知派盾安全团队处理结论和漏洞得分，再行发放奖励。(状态：已结束)

奖励发放原则

以等值 USD 的代币发放
- 稳定币
  - USDT
  - USDC

imKey 焕新计划｜致敬七年陪伴，焕发新生体验

亲爱的 imKey 用户，

自 2018 年成立以来，imKey 已走过七年时光，始终以安全为本、以用户为中心，为全球用户守护数字资产。为感谢一路同行的你，我们正式启动 「imKey 焕新计划」 —— 面向长期用户开放的专属福利通道，让你的老设备焕发新生，继续安心持币。

🔄 活动背景

时间是最好的安全见证者。imKey 始终秉持离线存储、硬件隔离的核心设计理念，为用户构建长期可信的资产防线。此次焕新计划，鼓励老用户升级至 全新 imKey Type-C 版硬件钱包，享受好的连接体验，继续安心持币之路。

🎯 参与对象

本计划为 imKey 金级 HODLer 专属福利：

适用于 SN 码激活时间早于 2022 年 5 月 18 日 的设备
可通过官方页面查询激活时间： 👉 https://imkey.im/pages/sn-check

🎁 焕新权益

符合条件的用户可获得：

全新 imKey Type-C 版 5 折「焕新」优惠码 x1
每个 SN 码限兑换一次，不可重复使用

📝 参与方式

填写焕新登记表，提交设备 SN 码及邮箱信息
通过官方审核后，将通过邮箱发送专属「焕新」优惠码
使用优惠码下单，即可享受焕新特惠价

📩 立即登记：

金数据登记通道：https://jinshuju.com/f/l1USXY

📅 活动时间

自 2025 年 5 月 18 日起长期有效
imKey 官方将不定期审核登记信息并发放优惠码

感谢你七年来的信任与支持，未来，imKey 将继续与你一起守护资产，共同迈进更加安全、自由的 Web3 世界。

imKey 团队敬上

imKey 会员体系正式上线

🔓 imKey 会员体系正式上线｜解锁你的专属权益

从安全启程，到信任守护，imKey 感谢每一位用户的陪伴。现在，值此 imKey 7 周年之际，全新的会员体系正式上线，你的使用时间，将为你解锁不同等级的专属礼遇！

🔸 会员等级一览

等级	认证条件	代表身份
🥉 铜级会员	激活使用未满 1 年	新晋 HODLer
🥈 银级会员	激活使用满 1～3 年	坚定 HODLer
🥇 金级会员	激活使用超过 3 年	资深 HODLer

🧭 如何查询会员等级？

操作非常简单，仅需 3 步：

1️⃣ 访问查询页面 → https://imkey.im/pages/sn-check

2️⃣ 输入你的 imKey SN 码

3️⃣ 查看设备激活时间，对照上表判断会员等级

🎁 等级越高，权益越多！

不同等级会员将可参与不同专属福利，包括但不限于：

🎉 限定活动参与资格
💰 专属折扣与权益包
🛍 限量定制周边
🚀 新品优先体验
👑 金级用户专属惊喜计划

📄 填写会员登记表，定向领取福利！

为了更好地定向推送专属福利，邀请你填写会员登记表，福利不错过！

👉 立即填写会员登记表（链接）

（填写完全自愿，信息仅用于活动通知及权益发放）

感谢每一位用户的选择与信任。

imKey 团队敬上
📅 发布日期：2025年5 月18 日

公告｜ imKey 新增支持 Dogecoin 钱包

为了满足用户需求并拓展对更多加密货币的支持，我们很高兴地宣布，imKey 硬件钱包在 imToken 2.16.3 版本中，正式新增对 Dogecoin（狗狗币）钱包支持。

关于 Dogecoin

Dogecoin（狗狗币）是由 Billy Markus 和 Jackson Palmer 于 2013 年推出的加密货币，起初以轻松幽默的方式回应比特币等主流加密货币的兴起。它的标志性形象来自网络流行的柴犬表情包，并迅速获得了大量忠实用户的支持。尽管最初并没有设定明确的用途，但随着时间的推移，狗狗币逐渐成为了一个广泛接受的数字资产，并且得到了特斯拉 CEO 埃隆·马斯克等公众人物的支持。

添加 Doge 账户

请确保你的 imToken 版本在 2.16.3 版本及以上。
请确保你的手机蓝牙已成功连接到 imKey 硬件钱包。
打开 imToken，依次点击「我」-「钱包管理」，选择配对的 imKey 硬件钱包，进入「imKey 管理」页面。
点击「应用管理（可添加/升级币种）」-选择「DOGE」-点击「安装」。
若需批量添加多个账户，请点击账户右上角的三个点，选择「高级模式」。

重要提示

在使用 Dogecoin 钱包功能前，请确保你的 imKey 固件已更新至1.9.05 最新版本。关于固件升级的详细信息，请参见 imKey Manager 使用指南中的 COS 升级说明。

感谢你对 imKey 的支持与信任，我们将继续努力为你提供更丰富的功能和更优质的服务。

如有任何问题，可及时联系 imKey 客服 ( support@imkey.im）获取帮助。

imKey 团队

安全提醒：警惕社会工程攻击骗局

「小额资产用热钱包，大额资产用冷钱包」是数字资产管理的最佳实践。使用硬件钱包（一般为冷钱包）可以使私钥等重要信息始终不联网，从而显著提高资产安全性。因此购买硬件钱包管理数字资产成为对安全有较高需求用户的首选。但在实际购买和使用硬件钱包的过程中，仍有一些需要注意的事项，避免安全防护功亏一篑。

imKey 发现存在非官方授权店铺在京东、拼多多等线上商城出售「已激活」的 imKey 硬件钱包的现象，此情况存在被社会工程攻击的可能，有较大欺诈风险。正常情况下，硬件钱包设备应为未激活状态，即首次使用 imKey 时，激活设备、创建钱包、备份助记词和设置 PIN 码均应由用户自行完成。

什么是社会工程攻击？

社会工程攻击是指攻击者利用人类的社会工程学原理，通过欺骗、伪装、诱骗等手段，让受害者主动或被动地泄露机密信息或进行某些操作，从而达到攻击目的的一种攻击方式。

通过进一步了解和调查，imKey 发现部分非官方授权店铺在售卖「已激活」硬件钱包的同时，篡改使用说明书，诱骗用户将资金存入被作恶商家提前创建的钱包地址中。

imKey 已联系各平台官方客服反馈此情况，并积极协助警方调查此类事件。同时，请通过非官方店铺购买 imKey 硬件钱包的用户注意：

如何自查

首次使用 imKey 时，务必确认自己操作以下关键步骤：

激活设备（激活不可逆，每台设备只激活一次）
设置并备份 PIN 码和绑定码
创建并备份助记词

如果以上步骤并非你自己操作，则存在较大的受欺诈风险，请务必警惕：

首次使用 imKey 的具体教程可查看 imKey 官网（ https://imkey.im ) 帮助中心的操作教程《imKey 与 imToken 首次配对绑定教程》

同时，也可以通过官方设备验证渠道（https://imkey.im/zh-hans/pages/imkey-verification ）对产品进行全方位验证。包括

外观检查：重点是检查说明书，凡提前创建 PIN 码的，均存在风险

设备激活状态检查：输入 SN 码可查看设备的激活时间，新设备应提示「设备尚未激活」

如何处理

将可能存在风险的钱包地址中的资产转移至其他安全地址
如有任何疑问，请通过官方邮箱 support@imkey.im 与我们联系

如何安全购买 imKey 硬件钱包

为确保产品品质以及售后服务质量，请通过官方渠道购买。目前，imKey 官方提供三种购买途径：

有赞商城：如果收件地址在国内，可以通过官方有赞商城购买，产品会通过顺丰快递在国内配送，配送速度快且安全可靠。
https://j.youzan.com/S0w1J1
亚马逊店铺：如果收件地址在海外，可以到亚马逊 imKey 官方店铺购买。亚马逊是全球知名的电商平台，购买和配送都非常方便。（认准 Seller: IMKEY CO.,LTD.)
- - Amazon US
  - Amazon JP
  - Amazon SG
  - Amazon CA
  - Amazon AU
官方网站：如果收件地址在海外，也可以通过 imKey 官方网站购买。
https://store.imkey.im/

请注意，只有通过官方渠道购买的 imKey 产品才能保证你的资产安全，同时还能享受官方售后服务。如果从其他渠道购买，我们无法保证产品质量和售后服务。

关于 imKey

imKey Pro 硬件钱包在行业内首先采用 CC EAL6+ 安全芯片，提供用户最高级别的安全保障，同时也是行业内率先采用蓝牙方式连接的硬件钱包，操作便捷，简单易用，在应用端，深度集成 imToken，可无门槛的体验 imToken 支持的各种应用，历经多年的市场验证，imKey Pro 已获得了用户和行业的广泛认可。

我们深知，用户的积极反馈是打击非授权店铺欺诈行为的关键。因此，我们诚挚邀请广大用户积极参与，如发现非授权店铺或疑似欺诈行为，请通过以下方式举报：

举报邮箱：support@imkey.im
举报内容：请提供非授权店铺的名称、网址，以便我们迅速核实并采取行动。

了解 imKey

查看所有篇文章

—— 浅谈真随机数及在 imKey Pro 的应用

导语

对区块链稍有接触的人，大多听说过「非对称加密」、「哈希算法」之类的加密学名词，但并不是所有人都知道，这些加密算法背后的基石 ——「随机数」。

用户在创建钱包的过程中，可「随机」获得一把私钥，通过私钥用密码学计算出地址，有了地址就能收取数字货币，私钥能且唯一支配这个地址上的数字资产。所以，谁拥有私钥，谁就拥有对应地址在链上的资产。

那么，私钥会不会有一天耗尽？是否可以通过撞库的方式暴力破解？

要消除这些困扰，你需要先对随机数有所了解。

一、随机数的重要性

在计算机科学中，随机序列在很多领域中都有重要作用，譬如计算机仿真、统计采样、密码学、网络游戏等，不同领域对于随机序列质量的要求也不一样。如在网络游戏中会存在大量随机事件——暴击率计算和抽奖等，这些场景一般都使用特定的伪随机机制，降低连续暴击或不暴击的概率，或十连抽必中的策略，都是为了让玩家有更好的游戏体验。但在本质是攻防对抗的信息安全领域，不满足「随机性」和「不可预测性」的随机数显然是不能使用的，这可能会导致安全体系产生不可弥补的漏洞。

不管是密码协议设计还是更基础的密码算法，随机数都是对抗攻击的核心依赖。根据柯克霍夫原则，密码系统的安全性应该完全依赖于密钥而不是保密的系统设计，密钥通常都源于随机序列产生，因此随机数的质量在密码系统非常重要，在理想情况下，完全随机的密钥应该只能通过暴力攻击来破解。

随机数在密钥生成、数字签名、认证与鉴别等应用中以及各种与安全通信有关的协议中都有大量应用，如：

密钥分发方案中，通常会使用随机序列作为握手信息来防止重放攻击。
在 SSL/TLS 协议过程中，随机序列不但用来防重放攻击，也是生成会话密钥的基本元素。
非对称密钥算法的密钥产生和签名过程，公开的数学算法 + 随机序列提供了工程实现安全。

二、随机数生成器

通常来说，随机数有以下 3 个检验标准：

随机性
1. 随机序列应该有良好的统计特性，不存在统计学偏差，是完全杂乱的数列。序列中的随机数分布应该是一致的，出现频率大约相等。满足这类要求的数字在人类「一眼看上去」是随机的。
不可预测性
1. 给定随机序列的一部分和随机算法，不能有效的演算出随机样本的其他部分。
不可重复性
1. 除非将随机序列本身保存下来，否则不可能出现相同的序列。

一般我们说满足 1 和 2 的随机数生成器是伪随机数生成器，3 个条件全部满足的随机数生成器是真随机数生成器。

伪随机数生成器（PRNG）

在计算机中如果给定确定的初始条件，使用确定的算法去产生随机数，那么产生的随机数总会在周期内遵循某种规律，这意味着到达周期之后总会重复，即使其满足随机性统计所定义的特定分布要求，因为其结果在特定周期是可见可预测的，那么这种方法产生的随机数并不「随机」，我们把它称为伪随机数，对应的方法为伪随机数生成器。在工程实现中通常需要将周期设置的足够长（要远远大于可能采集的随机数的长度），但其在理论上确实是有规律且可预测的。

真随机数生成器（TRNG）

真随机性的条件是苛刻的，在给定边界条件下，可以认为在经典力学下产生的随机数都是伪随机数，因为物理噪音、温度变化等都是可观测的，但出于现实应用需要，如果边界条件复杂且难以捕捉，可以认为是真随机数。

那么计算机如何生成真随机数呢？

通常需要引入外部熵源使产生的随机序列周期性大大减弱,UNIX 内核的随机数发生器（/Dev/Random）和Windows内核的 RtlGenRandom 都是这样的实现。UNIX 维护了一个熵池，不断收集非确定性的设备事件作为种子来生成随机数；Windows 则会收集进程、线程、时间、CPU 内部高精度计数器等信息作为内部熵源。

可以这样来描述真随机数：TRNG 是基于一种不可预测的物理现象（称为熵源）的功能或设备，用于生成非确定性数据（例如，一串连续的数字），目标为密码算法提供种子（Seed）。

生成大量的真随机数和伪随机数并将其可视化后，如下图，可以直观的看到真随机数没有任何规律，而伪随机数是按照一定规律排列。

三、安全芯片的真随机数发生器

通常安全芯片的真随机数生成器是由熵源和熵提取或采样单元组成，采样后的数据还需经过后处理单元或密码调节单元进行质量控制。产生的随机数质量高度依赖于熵源输出的原始熵，一般会内置基于物理噪声的单路或者多路随机源电路，每路随机源电路独立采样，将模拟信号提取为可用的数字形式后，交由后处理单元对其进行处理，譬如消除原始输出的偏差或者对信号进行增强处理等，通过这种方式获取的随机数主要应用于密码技术，具备高质量的 TRNG 也是安全芯片一个必不可少的功能点。

为了确保随机数生成器的可靠性，安全芯片每次上电后会对随机数生成器进行自检，通常也支持随时发起检测。

（注：基于噪声的 TRNG 典型架构）

四、TRNG检测

国内外都有一些认证方和认证规范来验证 TRNG 的产生是否符合真随机数的 3 个标准：随机性、不可预测性和不可重现性。

如 NIST 的 SP 800-90 A/B/C 标准，它提供了对应的检测套件，(FIPS) 140-2 的 4.9.2 章节规定了「连续随机数生成器测试」等内容，测试标准即 SP 800-90B 标准，如下图所示。

五、imKeyPro 如何使用真随机数功能

imKey Pro 产品核心是Infineon 的 SLE78CLUFX5000PH，该芯片为数字安全方案「完整性保护」提供全面错误检测、自检双 CPU 和全加密数据，包括 CPU 内加密计算。

（注：RZH1532 代表 SLE78CLUFX5000PH 芯片的生产批次号）

该芯片满足通用标准 EAL6+（高级）和 EMVCo 认证。

对应证书可在 CC 官网查阅

https://www.commoncriteriaportal.org/files/epfiles/0879V4c_pdf.pdf

Public Security Target 文档中指明了该芯片的随机数模块通过了 SP 800-90B 标准，具体可详见

https://www.commoncriteriaportal.org/files/epfiles/0879V4b_pdf.pdf

拥有高质量的真随机数发生器，还需要在工程实践中正确使用它，imKey Pro 在整个产品的生命周期中都使用了 TRNG，包括但不限于以下方面：

设备唯一证书密钥对的产生
连接授权码的产生
创建钱包时候产生的熵
密文存储密钥的产生
签名过程中使用到的随机数，如 256K1 签名时的K值（也可选用 RFC 6979）
设备管理的 SCP11C 安全通道的建立

文章来源：飞天诚信产品研发部

如果你想了解 imKey 硬件钱包，可以联系我们：

官方邮箱：support@imkey.im

关于硬件钱包安全：蓝牙还是二维码，有那么重要吗？

无论你用蓝牙，还是扫二维码，安全从来不取决于连接方式，而取决于你有没有在最后那一步——设备那块小屏幕上——把要签名的东西看清楚。金额，是不是你想转的那个数；转账地址，是不是准确无误的；必要时，链也确认一下。

用一个直白的比喻：快递是骑车送来还是走路送来（蓝牙/二维码），不决定你收到的是不是正品；你拆箱验货（看设备屏）才决定这件东西是不是你要的。

业内把这叫 WYSIWYS（What You See Is What You Sign，所见即所签）：私钥在硬件里、交易在硬件屏上复核、物理按键确认。

两个常见的翻车时刻

很多人会问：蓝牙、二维码哪种更安全，我们更愿意回问：你上一次转账，有没有仔细核对设备屏幕上的转账信息？

我们接触用户的过程中，总会听到差一点翻车的故事。

比如一个熟悉的场景：夜里在家，想赶在某个价位前转一笔资金，客厅灯光偏暗，手机贴膜又反光，二维码总对不上焦。来来回回几次，心气一急，扫上了就下意识按确认——但设备屏上的金额和地址，其实一眼都没看。

还有办公室里的另一幕：和合作伙伴对账，他在手机里浏览了交易预览，觉得没问题就走流程，设备的最终确认也没多看两秒——金额里多出来的那个零，是对方提醒才发现的。

两则失败复盘 —— 都与连接方式无关。最后把人绊倒的往往不是通道，而是忽略确认。

事实经验：各安全审计报告与钱包厂商复盘里，误签/盲签/假页面造成的损失，远高于蓝牙被攻破或二维码被破解。通信层要守，但真正的刹车在设备屏。

如何连接才算稳？

蓝牙为什么是硬件钱包最常见的连接方式？因为它顺手、流畅、更适合日常高频。以 imKey 为例：第一次用时，你要在设备上输入手机 App 显示的蓝牙配对码，把这台手机和这台设备安全地牵个手。同时，结合绑定码维持一对一的绑定关系，再配合通信加密，「中间人攻击」完全没有机会。真正容易出问题的地方，往往并不是蓝牙，而是我们没有对签名信息进行有效校验和确认。

二维码呢？很多人喜欢它带来的离线感。确实，屏对屏的光学传输让人踏实。但二维码也有它的小脾气：假来源/假页面/覆盖码（Quishing）会把你带去错误数据/错误地址、主机已中招时，离线生成的二维码也可能已被调包、昏暗环境下的误扫……都可能把你带到不该去的地方。哪怕是离线，来源要可信，而且同样要在设备屏上做那次最终确认。不然，离线只是一种心理上的踏实，而不是实质的防护。

怎么选？看你的使用习惯

说到底，连接方式之争，更多像是生活方式的选择：

高频转账、多链操作、讲效率 → 蓝牙更顺手；
低频，线下场景多，强调心理踏实→ 二维码也未尝不可。

可真正决定成败的，是把在设备上可验证变成肌肉记忆。

在每一次签名前，强制自己做 10 秒三步：

金额：位数、币种、小数点是否与意图一致；
地址：前六位 + 中间任意四位 + 末六位逐一比对；
链：确保在正确网络（主网/侧链/同名代币最易混）。

以上 3 点全部在硬件设备屏上核验无误 → 再按物理键确认。给自己这 10 秒，比你对蓝牙还是二维码的纠结更值钱。

先小后大的资金管理：把风险成本压到最低

新地址/新场景：先转 ≤ 10 美金 验证到账与备注；
大额：加上二人复核或语音读地址后核对这样的仪式性动作；
常用地址白名单：在可靠钱包/自建名单里固化，减少手动输入带来的错误。

两个常见的疑问，也顺手说开。有人担心蓝牙会不会传木马，其实蓝牙只是数据通道，不是木马孵化器；在不越狱、不 Root 的前提下，App 被沙盒隔离，跨 App 感染的风险很低。反过来，如果主机已经中招，再离线的二维码也可能被调包——通道不是关键，确认才是关键。还有人觉得二维码一定更安全，这更多来自离线带来的心理加分；它确实避开了电磁信道，但依然要面对假来源、假页面、暗光误扫这些现实——两者做对了都安全，做错了都不安全。

最后

这个世界没有 100% 的安全。安全不是某个连接按钮，而是一整套由架构、流程、习惯共同托住的系统。与其纠结哪种连接方式更安全，不如把注意力放在持续的可验证。如果你不想记任何技术名词，就记三句话

这三件事都做了，蓝牙也好，二维码也好，都能用得很稳。

imKey Applet 更新日志 (Applet Release Notes)

引言

imKey 硬件钱包通过安装和更新特定的“Applet”（Java Card Applet）来支持不同的加密货币和功能。每个 Applet 专注于处理特定区块链的交易签名、地址生成或其他相关操作。

定期更新您的 imKey Applets 可以：

支持新币种或代币： 获取对最新添加的数字资产的支持。
兼容最新协议： 跟进区块链网络升级（如新的交易类型、地址格式）。
增强功能： 获得 Applet 相关的新功能或优化。
修复问题： 解决与特定币种交互时可能出现的已知问题。

重要提示： 更新 Applet 是一个安全的过程，它不会访问、修改或删除您设备中存储的私钥或助记词。Applet 更新仅针对其自身的功能代码，你的核心资产安全始终得到保障。我们建议你通过 imKey 配套管理工具（如手机 App）及时更新 Applet，以获得最佳的功能支持和兼容性。

(PAID - Package Application ID，为 Applet 的唯一技术标识符)

Applet 版本历史记录

Bitcoin (BTC) Applet
(PAID: 696D6B65792E627463)

Version 1.6.10
- 发布日期: 2025-01-17 (注意：此日期为未来日期，请确认)
- 新功能:
  - 新增对 Dogecoin (DOGE) 的交易签名和地址解析支持。
Version 1.6.00
- 发布日期: 2024-08-22
- 新功能 & Enhancements:
  - 新增支持 Native SegWit (Bech32) 地址格式，有助于降低交易手续费。
  - 新增支持 Taproot (P2TR) 交易类型，提升比特币交易的隐私性和效率。
  - 实现对部分签名比特币交易 (PSBT - Partially Signed Bitcoin Transaction) 的支持，改善了与多重签名和复杂交易工作流的兼容性。
  - 新增支持 BIP-322 消息签名规范 (signmessage)，提升了在 Bitcoin 生态系统中的互操作性。
Version 1.5.10
- 发布日期: 2021-03-24
- 更新: 包含常规维护和优化。
Version 1.4.10
- 发布日期: 2020-11-05
- 更新: 包含常规维护和优化。
Version 1.4.00
- 发布日期: 2019-11-25
- 更新: 包含常规维护和优化。
Version 1.3.10
- 发布日期: 2019-09-05
- 更新: 包含常规维护和优化。
Version 1.3.00
- 发布日期: 2019-06-27
- 更新: 包含常规维护和优化。
Version 1.2.00
- 发布日期: 2019-01-19
- 新功能:
  - 初始版本，新增对 Bitcoin (BTC) 交易的基础支持。

Ethereum (ETH) Applet
(PAID: 696D6B65792E657468)

Version 1.5.01
- 发布日期: 2023-03-17
- Fixes:
  - 修复了在处理某些特定交易时可能导致设备意外重启的问题，增强了稳定性。
Version 1.5.00
- 发布日期: 2022-12-09
- Fixes:
  - 修复了在确认 NFT (非同质化代币) 交易时，信息在 imKey 屏幕上可能出现显示重叠的问题。
Version 1.4.00
- 发布日期: 2022-03-16
- 优化:
  - 优化了通过 WebUSB 连接与 DApp 交互时的按键确认体验。
Version 1.3.00
- 发布日期: 2021-11-25
- 新功能:
  - 新增对 EIP-1559 (London 升级) 引入的新交易类型的支持，以适应以太坊网络更新。
Version 1.2.00
- 发布日期: 2019-01-19
- 新功能:
  - 初始版本，新增对 Ethereum (ETH) 及 ERC-20 代币交易的基础支持。

imKey Core (IMK) Applet
(PAID: 696D6B65792E696D6B)

此 Applet 负责 imKey 设备与外部应用（手机 App、电脑端工具）之间的核心安全通信和管理功能。
Version 1.3.00
- 发布日期: 2021-04-20
- 新功能:
  - 新增支持多平台绑定功能，允许用户将同一个 imKey 设备安全地绑定并同时用于手机 App 和电脑端/网页端接口。
Version 1.2.00
- 发布日期: 2019-01-19
- 新功能:
  - 初始版本，提供基础的安全通信和设备管理能力。

Cosmos (ATOM) Applet
(PAID: 696D6B65792E636F736D6F73)

Version 1.0.10
- 发布日期: 2022-12-09
- 优化:
  - 优化Cosmos 注册币种名称显示。
Version 1.0.00
- 发布日期: 2019-01-19
- 新功能:
  - 初始版本，新增对 Cosmos (ATOM) 币种交易的基础支持。

EOS Applet
(PAID: 696D6B65792E656F73)

Version 1.2.00
- 发布日期: 2019-01-19
- 新功能:
  - 初始版本，新增对 EOS 币种交易的基础支持。

如何更新你的 imKey Applets？

请使用 imKey 官方的手机 App 或其他指定的管理工具，在设备连接状态下检查并根据提示完成 Applet 的更新。

如果你在更新过程中遇到任何问题，请随时联系我们的客服支持。

imKey 固件更新日志 (Firmware Release Notes)

引言

为了持续提升你的 imKey 硬件钱包的安全性、兼容性和使用体验，我们会定期发布固件更新。保持你的 imKey 固件为最新版本是确保存储在其中的数字资产安全以及享受最新功能的关键一步。

固件更新通常包含：

安全增强： 应对潜在威胁，加固设备安全防护。
新功能支持： 增加对新币种、签名算法或交互功能的支持。
性能优化： 提升设备运行速度和响应效率。
问题修复： 解决已知的使用问题，改善稳定性。

重要提示： imKey 的固件更新过程经过精心设计，旨在确保安全可靠。更新固件不会访问、修改或删除你设备中存储的私钥或助记词。 你的核心资产信息在更新过程中始终保持安全隔离。我们强烈建议你定期检查并安装最新的固件版本。

版本历史记录

COS v1.9.05

发布日期: 2024-08-22
适用设备: imKey Pro
新增功能:
- Schnorr 签名算法支持: 新增对 Schnorr 签名算法的支持，为未来兼容更多区块链特性（如比特币 Taproot 升级）打下基础。
- 助记词验证: 用户现在可以在设备上直接验证已备份助记词的正确性，提供额外的安全保障和安心感。

COS v1.9.00

发布日期: 2023-11-08
适用设备: imKey Pro
优化与改进:
- 蓝牙固件协同升级: 集成蓝牙模块固件至 v3.0.03 版本，提升蓝牙连接性能。
问题修复:
- 蓝牙连接稳定性: 解决了部分手机通过蓝牙连接 imKey 时可能导致设备意外重启的问题，显著提升了蓝牙连接的稳定性和兼容性。

COS v1.8.09

发布日期: 2022-04-21
适用设备: imKey Pro
新增功能:
- BLS 签名算法支持: 增加了对 BLS 签名算法的支持，扩展了对新兴区块链技术的兼容能力。
优化与改进:
- WebUSB 兼容性: 优化了通过浏览器进行 USB 连接（WebUSB）时的协议兼容性，改善了与 DApp 或网页钱包的交互体验。
- 设备识别: 更新了 USB 设备描述信息，确保设备在连接电脑时正确显示为 "imKey Pro"。
问题修复:
- 助记词输入: 修复了在特定条件下输入助记词可能遇到的异常情况。
- 设备激活流程: 修复了设备激活后，在少数情况下未能自动跳转到主界面的问题。

COS v1.6.03

发布日期: 2021-02-01
适用设备: imKey Pro
新增功能:
- Ed25519 签名算法支持: 新增支持 Ed25519 签名算法，扩大了 imKey 可支持的币种和应用范围。
优化与改进:
- 存储空间效率: 优化了内部安全芯片的存储空间使用效率。

COS v1.5.10

发布日期: 2019-12-31
适用设备: imKey Pro
主要特性:
- imKey Pro 初始版本: 这是 imKey Pro 硬件钱包的首个正式固件版本。
- Secp256k1 支持: 支持基于 Secp256k1 曲线的主流加密货币签名算法（如比特币、以太坊等）。
- USB 固件更新: 引入了通过 USB 数据线连接电脑进行固件更新的功能，使用户能够方便地升级设备。

COS v1.0.00

发布日期: 2019-03-18
适用设备: imKey 标准版 (Standard Edition)
主要特性:
- imKey 标准版初始版本: imKey 标准版硬件钱包的第一个固件版本。
- Secp256k1 支持: 支持 Secp256k1 签名算法。
- 注意: 此版本不支持通过 USB 连接进行固件升级。

如何更新你的 imKey 固件？

请参考 imKey 官方提供的最新固件升级指南进行操作。通常需要将 imKey 连接到配套的手机 App 或电脑端管理工具来完成升级。

如果你在更新过程中遇到任何问题，请随时联系我们的客服支持。官方客服邮箱support@imkey.im

如何防范硬件钱包供应链攻击?

imKey Pro 硬件钱包采用 Infineon 出品的安全芯片（型号： SLE78CLUFX5000PH），该芯片的安全等级达到了军工级 CC EAL 6 + 标准，是当前使用安全芯片的硬件钱包中公认的最高安全等级。硬件钱包作为目前市场普遍认同的最为安全的资产保管方案，可以保护私钥等敏感信息不会被黑客非法访问或篡改，让资产更安全。但是凡事无绝对，对于硬件钱包而言，供应链是其不得不正视的安全短板。

本文主要从购买渠道和产品开箱两方面介绍 imKey Pro 应对供应链攻击的一些措施。

如何购买 imKey Pro

为确保产品品质以及售后服务质量，强烈建议您通过官方渠道进行购买。目前，imKey 官方提供三种购买途径：

有赞商城：如果您的收件地址在国内，可以通过官方有赞商城购买，产品会通过顺丰快递在国内配送，配送速度快且安全可靠。

亚马逊店铺：如果您的收件地址在海外，可以到亚马逊 imKey 官方店铺购买。亚马逊是全球知名的电商平台，购买和配送都非常方便。

官方网站：如果您的收件地址在海外，也可以通过 imKey 官方网站购买。

请注意，只有官方渠道购买的 imKey 产品才能保证您的资产安全，同时还能享受官方售后服务。如果您从其他渠道购买，我们无法保证产品质量和售后服务。

如何防范硬件钱包供应链攻击

在首次开箱前务必通过以下几个步骤检查 imKey Pro 是否为官方正品：

1. 检查快递发货地：确保发货地是官方指派的地址，目前官方指派的中国大陆地区发货地址为浙江省杭州市，具体以官网信息为准；

2. 检查快递包装盒：检查快递盒是否为官方定制包装盒；

（印有 imKey logo 的包装盒，此款为中号）

3. 检查产品外包装：确保产品外包装的塑料封膜完好；确保产品包装左右两侧的不可逆封条完整无损且撕开后的条纹是完整的字母；

（imKey Pro 的不可逆封条）

4. 检查设备界面：开启未激活设备后，您会看到设备屏幕界面依次为选择语言 - 设备蓝牙名称；

（此操作界面代表 imKey 未经激活）

5. 检验设备是否可以激活成功：首次与 imToken 应用程序进行时，硬件设备会提示「激活成功」；

请注意，如果您购买的 imKey Pro 无法通过以上检查，那么您很可能购买到已经被使用过的产品，如果继续使用可能会造成资产损失。如遇到这类情况，请通过 Discord 和官方邮箱 support@imkey.im 与我们联系进行确认。

再次提醒！！！

拿到全新设备后，以下操作一定要由你自己完成：

激活设备（激活不可逆，每台设备只激活一次）
设置并备份 PIN 码和绑定码
创建并备份助记词

最后

引用《区块链黑森林手册》引言中的两大法则：

1. 零信任：简单来说就是保持怀疑，而且是始终保持怀疑。

2. 持续验证：你要相信，你就必须有能力去验证你怀疑的点，并把这种能力养成习惯。

如有任何怀疑，可通过 Discord 和官方邮箱 support@imkey.im 与我们联系，让我们一起守护资产安全。

更安全的离线资产管理方案

对于数字资产而言，助记词是最重要的安全信息，我们在保管助记词时务必注意以下两点：

助记词一旦丢失，任何人无法找回丢失的数字资产
助记词一旦泄露，别人就等同掌握了你的数字资产

据相关数据表明，所有的数字资产攻击事件中，66.3% 是在联网环境下远程攻击造成的助记词泄漏，资产被盗。那么我们该如何避免这类攻击，做好资产的安全防护呢？

最优资产管理方案：

小额资产放软件钱包，大额资产放硬件钱包。

这是业内公认的最佳实践。硬件钱包在完全离线的环境下生成并存储私钥，同时将私钥以一组随机生成的助记词形式呈现，便于用户进行备份和恢复。这种方式有效降低了资产被盗的风险，保障用户的资金安全。

imToken 推荐用 imKey 提供的双重防护离线资产管理方案，为你的数字资产提供全面保护：

一重防护：全程离线环境生成与储存私钥

imKey Pro 硬件钱包（冷钱包）采用全程不联网的设计，提供卓越的离线资产管理方案：

离线生成私钥：在完全离线环境中生成私钥，杜绝私钥泄露风险。
离线存储私钥：私钥等敏感数据被安全存储在硬件钱包的安全芯片中，与网络完全隔离，确保数据安全。
物理确认交易：在进行交易时，需通过硬件钱包的物理按键进行签名确认，类似银行 U 盾的安全机制，确保每笔操作安全可靠。

点我购买

二重防护：物理介质离线备份助记词

即使私钥生成和存储在硬件钱包中，也务必需要做好离线备份助记词。imKey 助记词密盒是理想的物理介质备份工具，具有以下特性：

高耐久性：采用全不锈钢材质，具备防水、防火、防腐蚀能力，有效应对极端环境。
多重保护：离线保管助记词的同时，避免因意外灾害导致助记词丢失或损毁。

点我购买

离线资产管理方案是目前数字资产安全领域的最佳实践。使用 imKey Pro 硬件钱包与助记词密盒，可以有效保护你的私钥/助记词不被泄露，为你的数字资产提供全方位安全保障。

Web3 入门

查看所有篇文章

ETH（Ethereum）钱包

入门

以太坊简介

以太坊是一个为去中心化应用（DApp）而生的全球开源平台。

以太坊主网于 2015 年上线，是世界领先的可编程区块链。和其它区块链一样，以太坊也拥有原生加密货币，叫作 Ether (ETH)。 ETH 是一种数字货币，和比特币有许多相同的功能。它是一种纯数字货币，可以即时发送给世界上任何地方的任何人。 ETH 的供应不受任何政府或组织控制，它是去中心化且具稀缺性的。全世界的人们都在使用 ETH 进行支付，或将其作为价值存储和抵押品。了解更多

以太坊钱包

钱包是一种应用程序，可以便捷地保存和传送 ETH，同时可以通过钱包与以太坊上构建的应用程序进行交互。

🔸钱包

移动端钱包 imToken - 为全球千万用户提供数字资产管理服务
硬件钱包 imKey - 安全好用，从此告别数字资产被盗

🔸创建钱包之前，请学习如何备份钱包

以太坊买卖

获取 ETH 最简单的方式就是购买。市面上有许多可以购买 ETH 的数字货币交易所，但用户需要根据所处地址和付款方式选择合适的交易所。

在购买 ETH 之前，尝试在这里了解购买方式 & 风险等信息，便于你更安全快捷的完成购买。

🔸支持购买 ETH 的交易所

Coinbase
Binance
OKX
...

使用

以太坊交易

你也许希望通过代币兑换获得 ETH。市面上大多交易所都支持 ETH 交易，你可以根据需要选择去中心化交易所或中心化交易所。

🔸去中心化交易所 Tokenlon

Tokenlon 是基于 0x 协议的去中心化交易所，旨在为用户提供「速度快」「价格优」「币种多」的交易体验。交易资产完全由用户掌握，无需充值、提现，即可借助 Tokenlon 快速完成币币兑换。

🔸中心化交易所

由交易所托管用户资金，提供数字货币流动性供应，具有学习成本低、撮合效率高等特点。

Binance
OKX
…

以太坊转账

以太坊转账与中心化世界的银行转账有很大区别，有时会遇到「转账失败」或「转错地址」等情况，这时你需要了解以太坊转账机制以及转账会遇到的情况。

🔸以太坊转账机制

🔸以太坊转账会遇到以下情况

以太坊挖矿

以太坊目前使用的是权益证明共识机制。这种机制使得以太坊网络能够就以太坊区块链上所记录的信息状态达成一致，并使其免受某些经济攻击。

学习

以太坊创始人

V 神全名维塔利克˙布特林（Vitalik Buterin），区块链平台「以太坊」创办人兼首席科学家，一个立志用区块链技术颠覆实体经济的 90 后小伙子。2013 年，他着手开发一个去中心化、基于区块链技术的计算平台，取名 Ethereum。2015年，以太坊正式上线，在区块链世界掀起层层波浪。2016 年 Vitalik Buterin 被美国《财星》杂志评为 2016 年 40 岁以下的 40 大杰出人物之一。了解更多

以太坊价格

以太坊浏览器

以太坊区块浏览器是一个查询以太坊区块、交易、ETH 代币、钱包等信息的网站，实时同步更新 ETH 所有节点信息。

🔸你也许想知道该如何使用：

如何使用 Etherscan？

区块链转账矿工费作用和机制

在区块链网络中，矿工费（或称交易手续费）是用户在发起转账或执行智能合约时，支付给矿工或验证者的费用。矿工费的主要作用是激励矿工处理交易，同时保障区块链网络的安全性与正常运行。

为什么矿工费会突然上涨？

市场行情波动较大，导致以太坊网络的交易量激增，网络出现了严重拥堵。由于以太坊网络每秒能处理的交易数量有限，为了确保自己的交易尽快被打包，用户通常会提高矿工费，从而导致整体矿工费上升。

imKey 作为去中心化硬件钱包，所有交易的矿工费都直接支付给矿工，imKey 不收取任何费用。所以，矿工费上涨的问题，并不是由 imKey 所造成的，我们可不背这个锅哦！

矿工费上涨后，有不少小伙伴在转账上遇到了问题，今天这篇文章汇总了 9 大转账常见问题，你可以「对症下药」。

1.为什么要支付矿工费？

当我们在区块链上进行转账时，是由一群名为「矿工」的人处理并记录我们的交易信息，他们时刻在维护区块链网络的安全稳定，因此收取辛苦费，也就是矿工费。

👉 如何理解区块链转账

2.为什么矿工费这么贵？

区块链上的矿工费是实时调整的，如果很多人转账，就会导致交易都在区块网络中排队，而以太坊网络在一定时间内可处理的交易笔数是有限的，着急转账的人就会提高矿工费让自己的交易被尽快打包。从而导致整个网络的平均矿工费上升。

当前以太坊网络等待打包的交易有 16 万笔，所以矿工费比较高。

数据来源：https://etherscan.io/txspending

3.发起交易时，矿工费设置太低了，一直不到账。想要重新调高矿工费，怎么调？

对于已经发出的交易，如果想要它尽快确认，可以在转账记录中找到等待打包的交易，点击「加速交易」，就可以调高矿工费，完成交易加速打包。

4.矿工费不足怎么办？

以太坊钱包中的所有代币在转账时都需要使用 ETH 支付矿工费，如果你的钱包中没有 ETH，转账就无法正常进行，需转入 ETH。

5.进行了好几笔交易，为什么都没有成功？

如果你有一笔交易处于等待打包，没有成功的状态，那么后续发起的多笔交易就会排队等待打包。对于同一个地址发起的交易来说，矿工需要按照交易发起的先后顺序进行打包。当第一笔交易成功后，才会轮到后续的几笔交易。

👉 决定转账打包顺序的「神秘」值：Nonce

6.交易一直显示打包中状态，能取消吗？

日常生活中的转账和区块链转账有着本质上的不同，区块链上的交易一旦发出，就无法修改或取消。

👉 区块链转账与银行转账的不同

当交易长时间处于等待打包的状态，你有两种选择：

如果你不着急到账，那么你可以耐心等一下，以太坊网络上的拥堵减缓以后这笔转账就会成功了。
如果你急于资产到账，那么你可以选择加速交易，追加矿工费让交易尽快打包。

7.交易打包失败后，代币会退回我的地址吗？

只有交易成功后，代币才会从你的地址中扣除。如果在转账时矿工费设置得过低，导致交易被矿工丢弃，也就是打包失败的情况，代币依然会留在你的地址中。（注：矿工费会扣除）

8.使用 DeFi 应用，如何调整矿工费？

使用 imToken 对交易进行授权时，点击矿工费即可进入矿工费自定义模式。

注意：使用 DeFi 应用发起交易时，如需自定义矿工费，请谨慎，以免由于设置不当导致交易失败，损失矿工费。

9.如何合理设置矿工费？

imToken 会实时调节适应于当前区块网络的最佳矿工费设置，只需按照默认设置进行转账，即可快速到账。

如果你觉得默认的转账费用太贵，可以选择三挡变速中的「经济」，把矿工费调低，但这也会减慢你的资产到账时间。

区块链基本特性

区块链具有去中心化、不可篡改、不可逆、匿名等特性。

去中心化：因为整个网络没有中心统治者。系统依靠的是网络上多个参与者的公平约束，所以任意每几个节点的权利和义务都是均等的，而且每一个节点都会储存这个区块链上所有数据。即使该节点被损坏或遭受攻击，仍然不会对账簿造成任何威胁。

不可篡改：确保信息或合约无法伪造。账簿在某个人或某几人手上，造假的可能性就非常高，但每个人手里都有一本账簿，除非整个网络里超过 51% 的人都更改某一笔账目，否则任何的篡改都是无效的，这也是集体维护和监督的优越性。

不可逆：区块链上的信息必须不可撤销，不能随意销毁。系统是开源的，整个系统都必须是公开透明的，因此某笔交易被全网广播以后，达到 6 个确认以上就成功记录在案了，且不可逆转不可撤销。注: imToken 是 12 个区块确认。

匿名性：各区块节点的身份信息不需要公告或验证, 信息传递可以匿名进行。举个简单的例子, 就是你在区块链上向一个钱包地址发起交易, 但是却无法知道这个地址背后确切对应的是哪一个人, 或者你的私钥被某一个黑客盗窃了, 无法从一个钱包地址中得知黑客是谁。

综上所述，区块链的这些特性确保了系统的安全性、透明性和去中心化优势，同时也推动了区块链技术在各个领域的广泛应用。

导入助记词，提示不正确或无效怎么办？

请对照钱包的提示选择解决办法

提示：无效助记词

说明你导入的助记词中有单词并不在 BIP39 词库，请根据软件提示检查一下，将错误的单词改正，不断尝试直到导入成功。

提示：助记词长度不正确

说明你输入的助记词数量不对，一个助记词通常是 12 个单词。请检查一下是否遗漏或输入了多余的单词，请在查正后重新导入。

提示：助记词校验位不正确

助记词的第 12 个单词是它的校验位，该单词由前 11 个单词推导生成，起到验证的作用。一般以下三种情况会出现「校验位不正确」的提示：

前 11 个单词顺序有误，前 11 个单词中的某一个单词不在 BIP39 词库中；
前 11 个单词中，某一个单词被改成了 BIP39 词库里的另外单词；
前 11 个单词都是对的，但第 12 个单词不在 BIP39 词库中。

以上三种情况均是由于你在起初备份助记词时记录错误导致的，建议你查找正确的助记词（正确的 BIP39 单词与正确的单词顺序）。

另外，如果你有保存私钥，也可以使用私钥来恢复钱包。

对去中心化钱包的五大常见误解

本文以 imToken 去中心化钱包为例，其他数字资产钱包情况可能会稍有不同，具体请询问相关钱包官方客服。

人与人之间，总是会产生一些误解，这些误解往往是由于彼此不了解造成的。同理，我们在接触新事物时，比如去中心化钱包，也存在这样的情况，加上区块链技术与我们使用的传统中心化服务有着很大的差异，使得这些误解在我们心中根深蒂固。

以下是新人在使用去中心化钱包时，会产生的五个常见误解，你有没有「中枪」呢？

误解一：我的资产都是「存」放在 imToken 钱包里

钱包最重要的功能就是管理资产，人们可以通过钱包进行转账或者收款等。这点与在中心化交易平台开设的账户功能类似，但不同的是：你的数字资产并不是存放在去中心化钱包服务商手中，你们之间没有任何的资产托管关系。

因为去中心化钱包并没有掌握你的钱包助记词，这与中心化平台有很大差别，你存放在中心化平台的资产由平台方控制和管理，用户不可能获得中心化平台地址的助记词等信息。

（图片来源：Dalby, Wendland & Co. News）

而你在使用去中心化钱包时，只是借助钱包应用进行资产管理，助记词和私钥等由你自己掌握，你可以通过私钥来授权并发起转账或者交易。

请牢记：谁掌握了助记词，资产就「存」在谁那。

误解二：转账填错地址，请客服给我退回

区块链上的钱包地址一般都是一串长字符，比银行卡号更复杂也更难记忆。

一般情况下，大家在转账时都是通过扫描二维码或者复制来获取收币地址，填错地址的情况比较少，但总有一些马虎的朋友会出错，比如复制了代币合约地址，导致资产转入错误的地址，而如果想退回这些错误转账，在大多数情况下都是不可能的。

区块链转账如果在链上已经成功了，就无法进行冻结或回溯，只能联系收币方退回。但由于匿名性，我们很难确认钱包地址主人的真实身份，如果将资产转入错误的地址，基本上可以宣告这些资产已经丢失了。

所以在转账前再三核对地址的正确性是十分重要的，大家可以借助钱包的一些便捷功能来确保地址准确，比如 imToken 钱包的地址本功能，将常用的地址记录在地址本里，下次转账的时候可以一键输入。

当然，你也可以使用 ENS 域名服务让自己的钱包地址简单易记。

误解三：我的资产金额不对，请 imToken 给我调整下

解答这类问题还是要从源头说起，首先我们要了解钱包内的资产信息从何而来？

你的所有数字资产其实只是链上一行行冰冷的数据，而且它原本的样子并不是那么讨人喜爱，就像下面这样：

除了程序猿，相信大部分人都看不懂这些代码。所以，为了方便大家更直观地看到自己的资产情况，程序猿们对这些数据进行了「易容术」处理，配上交互设计，使得它们更加直观也更美观。

我们已经知道钱包内每个地址对应的资产状况都是直接从链上抓取的，与区块浏览器的查询结果是一致的，只不过钱包以一种更友好的方式展示在用户眼前。当你觉得资产信息有误时，可以通过区块浏览器查询交叉验证自己的资产情况。

误解四：DApp 浏览器能访问的 DApp 都与 imToken 有关

要化解这个误会，我们首先要理解什么是「DApp 浏览器」。

暂且抛开前面四个字母不谈，说到浏览器，大家对于 Chrome、Safari、Firefox、IE 等常用浏览器应该不陌生，我们平时访问知乎、淘宝等网站都是通过这些网页浏览器打开的。那么，「 DApp 浏览器」的意思也就很明显了：用来访问 DApp 的工具。而 DApp 是区块链技术的天然产品，这样，DApp 浏览器就孕育而生了，而且大多数情况下作为原生功能嵌入在钱包应用内。

大家除了可以直接访问钱包接入的第三方 DApp，还可以通过 DApp 浏览器输入相关 DApp 的网址进行访问。但能够访问并不代表这个 DApp 与钱包服务商有关，这就好比你用 Chrome 浏览器访问了淘宝一样，虽然能够正常访问，但不能说明 Chrome 与淘宝有关系。

在这里温馨提醒下大家：许多诈骗 DApp 项目会利用这种信息差行骗，给用户营造一种该项目与钱包有关联的假象。

误解五：imToken 只能管理 ETH 资产

大部分用户对 imToken 的印象停留在 imToken 1.0，认为 imToken 只能管理 ETH 及ERC20 代币。经常有用户询问：imToken 什么时候支持 BTC？TRX？我想告诉大家：imToken 目前已支持 ETH，BTC，EOS，COSMOS，BCH，LTC，CKB，TRX，KSM，DOT，FIL，XTZ ，GOGE ,Osmosis,TON 15 个主网，而且通过一组助记词就能够管理以上 15 个主网上的资产。（imKey 暂时不支持 XTZ ，TON, Osmosis 3 条主网）

本文参考自 imToken 帮助中心，imKey 硬件钱包适用于此内容。

Vaulta 钱包

入门

Vaulta 简介

Vaulta，前身为 EOS（Enterprise Operating System），是由 Block.one 研发的区块链底层公链系统，主要开发者为 BM（Bytemaster，Daniel Larimer）。EOS 自设计之初便受到区块链行业的广泛关注。作为公链项目，其在架构设计和技术实现上均不同于 Bitcoin 和 Ethereum，致力于提升分布式应用的性能扩展能力。

2025 年 5 月 14 日（新加坡时间），EOS 网络正式更名为 Vaulta，原生代币 EOS 以 1:1 比例升级为 A 代币。Vaulta 现致力于打造高性能、可扩展的 Web3 银行业务平台，推动去中心化金融应用的落地与普及。了解更多

Vaulta 钱包

钱包是一种应用程序，可以便捷地保存和发送 A、EOS 等代币，同时可以通过钱包与 Vaulta 上构建的应用程序进行交互。

🔸钱包

移动端钱包 imToken - 为全球千万用户提供数字资产管理服务

🔸创建钱包之前，请学习如何备份钱包

🔸创建账户

如何创建 Vaulta 账户？

A 买卖

获取 A 最简单的方式就是购买。市面上大多交易所都支持 A 交易，你可以根据需要选择去中心化交易所或中心化交易所。购买之前，你可以了解购买方式 & 风险等信息，便于你更安全快捷地完成购买。

🔸中心化交易所

中心化交易所是指由中心化的组织或公司管理的数字货币交易平台，负责托管用户的资金，提供数字货币流动性，具有学习成本低、撮合效率高等特点。支持购买 A 的交易所：

Binance
Bybit
Bitget
……

使用

Vaulta 转账

在 Vaulta 账户转账时，需确保账户中拥有充足资源，包括 RAM（内存）、CPU 和 NET。

CPU 代表合约执行所需的计算资源，NET 是交易在网络上传播所需的带宽，RAM 用于存储链上的数据，比如账户信息和代币余额。一般转账只消耗 CPU 和 NET，如果接收方第一次接收某种代币，则可能占用发送方账户中的少量 RAM。

如何获取资源

CPU 和 NET：在 imToken 钱包首页功能区点击「CPU 租赁」，即可使用 A 代币进行租赁，所租资源有效期为 24 小时。一般而言，单笔转账所需租赁资源较少，约 10 ms CPU 和 200 kb NET 即可；若需进行多次转账或操作质押等其它操作，建议适当多租赁些 CPU 和 NET 资源。

RAM：在 imToken 钱包的「资源管理」页面或 Unicove DApp 中购买 RAM 资源。

了解更多：

学习

区块浏览器

区块浏览器是查询交易、钱包地址、质押及资源等信息的网站。

EOS 区块浏览器：https://eosflare.io/
Vaulta 区块浏览器：https://unicove.com/zh/vaulta/account/core.vaulta

A 价格

Vaulta 官方渠道：

官网：https://www.vaulta.com/
X（推特）：https://x.com/Vaulta_
Github：https://github.com/VaultaFoundation/
Telegram：https://t.me/vaulta

安全与警示

查看所有篇文章

安全警示｜TRX 多重签名骗局

摘要
近期，骗子通过假 imToken 等方式获取用户助记词，并修改 TRX 钱包账户权限，使用户只能转入代币而无法转出。该骗局被称为 TRX 多重签名骗局。用户应定期检查账户权限，并通过 imToken 官网下载软件，避免受骗。

近期，TRX 多重签名骗局异常猖獗，骗子通过诱导用户下载假 imToken 等方式获取用户的助记词，但是却不直接将用户的代币盗走，而是通过修改用户的 TRX 钱包账户权限，导致用户失去对账户内代币的控制权，只能将代币转入钱包，却无法转出。

本文将揭秘 TRX 多重签名骗局具体是如何实施的，以及我们该如何防范这类骗局。

什么是 TRX 多重签名骗局

当我们创建了一个 TRX 钱包后，这个钱包账户默认的拥有者权限为账户本人，阈值为 1，即钱包转账需持有一个拥有者权限的地址进行签名授权才能发起。

注：拥有者权限是指一个 TRX 账户的最高权限，具有该权限的地址可进行该账户内的所有操作。

而当骗子获取了用户助记词，对其 TRX 账户权限进行修改后，用户地址的拥有者权限变为用户本人和骗子共同持有，阈值为 2，即钱包转账需要两个拥有者权限的地址——用户的地址和骗子的地址，共同签名授权才能发起。

由于此时 TRX 钱包的转账需要多重签名（用户地址的签名和骗子地址的签名）才能完成，所以这类骗局被称为 TRX 多重签名骗局。

这就意味着，当用户的 TRX 账户被骗子更改为需多重签名的地址后，用户发起的任何交易，都需要骗子的签名授权才能完成，如果只是用户单方面发起交易，就会遇到类似「server：SIGERROR」的报错。

你可能会疑惑，为什么用户拥有自己账户的助记词 / 私钥，也无法「独立完成」代币的转出操作。

以合伙开公司的例子解释一下，你就明白了。假设有一家公司有两个合伙人，他们在这家公司成立之初规定：所有的重大决策要两个合作人都同意进行签名授权，即多重签名，才可以执行。若有一方不同意，决策则不通过。

被骗子修改为多重签名的 TRX 账户就像是这样一家公司，即便用户持有钱包助记词，但也已经无法「独立完成」对这个钱包的转账等重大操作。

用户只能将代币转入这个账户，却无法转出，骗子就是利用这一点从而「放长线钓大鱼」，等到用户在账户中积累了足够的代币后再一次性盗走。如果一个用户从来都是只收款不转账，且不去链上查看自己的账户权限，那他可能会一直蒙在鼓里并持续地向这个账户转钱。

另外，骗子除了通过诱导用户下载假 imToken 方式外，还会通过以下两类方式利用多重签名诈骗：

在 Telegram 等社交平台推广充值网站，诱导用户使用数字代币进行充值，实际上是趁用户充值时获取账户的拥有者权限，导致用户失去对账户的控制权；
在 Telegram、微信等社交平台公开自己的助记词 / 私钥，诱导用户转入 TRX 作为手续费以转走钱包内的代币，但实际骗子早已将拥有者权限转移，最终导致用户损失 TRX。

安全提醒

imToken 安全团队在此提醒大家

下载 imToken 请认准官网：https://token.im/
天下不会有免费的午餐，切莫贪小便宜
定期检查 TRX 钱包账户权限（👇 附有教程）

如何查询账户权限

1. 打开 TRX 钱包，切换至「浏览」页面输入 TRONSCAN 并打开。

2. 在输入框输入钱包地址并搜索，跳至账户信息页面并下滑至「账户权限」板块。

3. 如图所示，如果有且只有你的地址持有拥有者权限，说明你的账户权限是安全的。

安全警示｜域名名称代币骗局

摘要
近期，有用户反馈 TRX 钱包内收到域名名称代币，这些代币诱导用户访问钓鱼网站以获取转账权限。imToken 与 Tronscan 屏蔽了 370 个此类代币，提高了钱包页面整洁度并防止用户受骗。收到这类代币请勿访问，并通过 App 内「帮助与反馈」举报。

近期，有用户反馈 TRX 钱包内收到了若干域名名称代币，例如：365haxi.com。骗子利用这些代币来诱导用户进入对应的域名网址，并将网站包装成博彩或者质押网站等等，引导用户参与，实际上是想获取用户的代币转账权限，从而盗取用户的代币。

imToken 联合 Tronscan 风控部门针对 TRX 钱包中的此类代币，建立了一套完善的屏蔽流程，提交并屏蔽了 370 个域名名称代币，一方面提升了 TRX 钱包页面的整洁度，另一方面避免用户点击进入对应钓鱼网站从而损失代币。

imToken 团队在此提醒大家：如果收到这类代币，不要访问对应的网站！并立刻通过 App 内「帮助与反馈」联系我们进行举报！

安全警示｜相同尾号地址骗局

摘要
骗子利用伪装地址欺骗用户，通过生成相同尾号的地址并进行小额转账，使用户误以为是常用地址而转账。imToken 提醒用户转账前务必仔细核对地址，并建议使用地址本功能保存常用地址，防止转错地址。

骗子利用用户转账时复制交易记录中地址的习惯，生成相同尾号的地址作为伪装地址，并利用伪装地址向用户小额转账，使得骗子的地址出现在用户的交易记录中。

例如下图：用户经常转账的地址为「TUahsb…JjXyp3」，伪装地址为「TSeqQh…sjXyp3」，它们有相同的尾号「jXyp3」。

若用户从交易记录中复制地址进行转账时，只核对了尾号，则很容易错误复制成骗子的伪装地址，不小心转账后就会造成代币损失。

imToken 团队在此提醒大家：由于区块链技术不可篡改的特性，链上转账一旦成功，则无法进行取消、撤回等操作，所以转账前请务必仔细核对地址！

另外 imToken 推荐你使用地址本功能，将一些常用的地址进行保存，防止转账时转错地址。

如何使用地址本转账

设置地址本

打开 imToken 钱包，并依次点击「我」-「地址本」找到地址本功能，点击右上角「+」即可添加 12 条公链的地址。

注：设置后，请检查地址准备无误后再使用。

使用地址本转账

这里以在 TRX 钱包转账 USDT 为例。选择 USDT 代币并点击「转账」进入转账页面，点击右侧的图标进入地址本选择地址，输入转账金额并确认转账信息后，点击「下一步」输入密码即可转账。

安全提醒｜请警惕代币授权骗局

摘要
授权骗局是指通过诱导用户进行转账、质押等操作，骗取用户的代币转账权限。骗子通常通过购买虚拟物品、二维码收款、假借「质押挖矿」等方式进行诈骗，导致用户钱包内的代币被盗。用户需提高警惕，妥善管理转账权限。

什么是授权骗局？

近期诈骗案件频发，请大家务必提高警惕以防代币损失！今天这篇文章要剖析的授权骗局就是诈骗案件中的一个典型。

｜我在网店购买 TikTok 账号，付款提示交易失败，还扣了我的 TRX，然后我的 U 无缘无故消失了。

｜朋友给了我一个收款码，我扫码只支付了 1U，然后剩下的币就被盗走了。

｜有人告诉我可以通过 imToken 钱包参与 XXX 代币质押获得高额收益，我点击确认同意了，结果钱包里剩下的币在我不知道的情况下都被人转走了。

在没有你同意的情况下，骗子凭什么能转走你的代币？骗子凭借的是你不经意间给他的转账权限，当他诱骗你进行转账 / 质押的同时，把代币转账权限也骗到了手。

那么，代币转账权限到底是什么呢？举个例子。

支付宝里有个亲密付功能，当我对家人开通这个功能后，他们购买物品时就会直接通过我的账户进行扣款。即便家人不知道我的支付宝密码，也能使用我账户里的钱。

类似的，当你把代币转账权限给了「朋友」后，对方即便不知道你的助记词和支付密码，也能转走你钱包里的代币。而很多人由于不了解代币转账权限的含义，在给出这个权限时，往往不自知，所以这类骗局发生得很隐蔽，且越来越多人上当。

骗子通常会以这几种方式骗走你的转账权限：诱导购买虚拟物品、二维码收款和假借「质押挖矿」名义的资金盘。

方式一：诱导购买虚拟物品

当你在购买账号、短信接码等网店中购买虚拟物品付款时，网店会让你点击跳转到数字货币钱包中进行付款。

支付时，如果你进入的是一个「授权代币转账权限」的页面，就说明你正发起的不是普通转账交易，而是授权交易。如果你在骗子伪造的付款链接中输入密码签名，便会将对应代币的转账权限授权给骗子的地址。骗子利用你给的权限可转走你钱包里对应的代币，无需经过你的允许。

此外，付款后诈骗网站页面通常会弹出例如支付失败、TRX 不足、网络异常、流水不足等提示，会让你误以为没有付款成功，更换其他地址或者转入更多的代币继续授权。其实这是骗子在其诈骗网页中设置的弹窗，不是钱包 App 本身对用户的提示，骗子的目的是获取你更多代币的转账权限。

方式二：二维码收款

骗子会发给你一个链接或假冒钱包收款的二维码，你扫码后会进入假冒的转账页。一旦你在该页面中进行了「转账」，骗子的计谋就得逞了。

请注意，扫码后你可以通过查看页面右上角的图标，区分真假转账页面和二维码。骗子制作的转账页面右上角为「···」和「X」的图标，大部分钱包内的正常转账页面右上角是扫描二维码的图标。

安全提醒｜请警惕代币授权骗局 - ZH - 01.png

左：骗子仿冒的 USDT 转账页面；右：真的 USDT 转账页面

方式三：假借「质押挖矿」名义的资金盘

骗子假冒钱包客服，告诉你通过钱包进入某个网站参与质押挖矿，存入 USDT 即可获得每天 1% 的收益，存入的代币数额越多，收益率越高。有些骗子甚至会告诉你无需存入代币，只需支付一点矿工费就可以获取稳定的收益。

安全提醒｜请警惕代币授权骗局 - ZH - 02.png

当你被高额收益吸引，打开骗子网站参与其中时，通常你会看到一个「授权代币转账权限」的页面，在授权代币的额度这里写着无限额度或者 99999……一个接近无限大的数字。若你仍选择确认操作并签名，骗子就获得了转走你钱包中所有对应代币的权限。

imToken 优化签名体验

针对以上这三类骗局，imToken 已经优化了签名体验。当你签名此类交易时，imToken 会明确提示你正在执行「授权代币转账权限给智能合约」的操作，并显示你授权的代币额度。我们建议你在交易时保持警惕。此外，如果授权对象是个人地址，imToken 会警告你交易存在安全风险，提醒你请勿参与，避免资产损失。

安全提醒

警惕短信接码、购买账号、虚假交易所、高收益或保证盈利等网站。
请勿在不明链接上进行支付或转账。认清授权交易与普通交易的区别，识别无限额度恶意授权交易页面，不随意输入密码授权。
谨慎授权。在授权页面上需先确认合约地址，并通过区块浏览器查询合约标签和交易记录等信息，以辨识合约地址的真实性。

那么如何检查自己的代币转账权是否有外泄的情况，以及如果外泄了该怎么应对呢？

授权查询和取消

代币授权骗局主要发生在以太坊和波场上，因此本文提供 ETH 和 TRX 两类钱包的授权查询和取消的教程。

TRX 钱包

准备

确保钱包地址中至少有 30 个 TRX。若没有，你可以通过交易所提币至自己的 TRX 钱包地址。

手把手教程

1. 打开 imToken 内的 TRX 钱包，将首页的功能栏向左滑动，点击「授权管理」按钮，进入「TRONSCAN」页面自动连接钱包，查询授权。

TRONSACN：可查询和处理 TRX 钱包授权的工具。如果你无法打开此页面，请切换手机网络后再尝试打开。

2. 进入 TRONSCAN 后如果页面是英文，可点击右上角菜单栏，再点击最下方「Preferences」（即偏好设置）-「简体中文」-「Save」（即保存）进行语言切换。

3. 将页面向下滑动，点击「授权列表」即可查看你授权的地址和数量。如果列表中有不明地址，并且你自身也不了解该地址的控制方，那么这很有可能是骗子地址。请点击授权记录右侧的▼ 展开详情，点击「取消授权」并在弹窗页面中再次确认，发送取消授权交易。

4. 取消授权后，请确认授权记录的状态为「已取消」且当前授权数量为「0」。

ETH 钱包

确保钱包地址中有至少 0.02 个 ETH。若没有，你可以通过交易所提币至自己的以太坊钱包地址。

注：提币时请选择 ETH（ERC20）网络通道。

手把手教程

1. 打开 imToken 内的 ETH 钱包，将首页的功能栏向左滑动，点击「授权管理」按钮，进入「Revoke」页面自动连接钱包，查询授权。

Revoke.cash：授权（Approve）管理 DApp，已支持管理以太坊、Arbitrum、Optimism、BSC、Polygon、Avalanche 等网络中的授权。在该页面点击以太坊图标进行网络切换，即可查看对应网络的授权详情。

2. 将页面下滑至底部就可以看到该账户授权情况，在授权金额、被授权人（Spender）、上次更新列表中查看你的授权数量、地址以及时间。

如果想要取消某个授权，在授权记录列表中找到要取消授权的代币或 NFT，然后向左滑动，点击「撤销」并在弹窗页面中再次确认即可发送取消授权交易。

3. 取消授权的交易发出后回到钱包首页，点击「记录」可查看该交易状态。当状态从「等待确认」变为「成功」，说明你已成功取消授权。

4. 如果想要更改代币授权金额，可以点击金额右侧的「✏️」图标进行修改，填好数值后点击「更新」并在弹窗页面再次确认即可。

在上图的中间这张截图中，我们可以看到被授权人（Spender）一栏显示有 Uniswap、Aave 等。这是因为当我们在 DEX 中交易时需要先进行代币转账授权，其目的是让 DEX 获得代币的转账权限，方便完成后续的代币兑换。

但是，如果你发现被授权人（Spender）这一列有不明地址，并且你自身也不了解该地址的控制方，那么这很有可能是骗子地址，请立刻取消授权。

温馨提示：如有任何问题，请通过 App 内「帮助与反馈」联系我们获取帮助。

最后

为了保障用户钱包安全、打造优质加密生态，imToken 致力于普及安全资讯并提供解决方案。

imToken 是一款有温度、有责任的区块链代币管理工具，有严格的安全审计和风控措施保障用户钱包安全，遍布 150 多个国家，超千万区块链爱好者的选择。

imToken 官方下载链接：https://token.im/download

安全提醒｜请警惕 TRX 钱包账户权限更改骗局

摘要
近期出现的 TRX 钱包账户权限更改骗局中，骗子诱骗用户使用其提供的助记词，实际上通过更新账户权限，将用户的最高权限转移到骗子手中，导致用户无法转账。用户需提高警惕，不要接受他人提供的助记词，并通过官方渠道下载 imToken 确保安全。

什么是 TRX 钱包账户权限更改骗局？

区块链行业兴起以来，不乏盗币、诈骗等安全事件。比如代币授权骗局、假官网和假应用，以及钓鱼链接等，骗子利用普通人的知识盲区设计了各种圈套，令人防不胜防。

近期骗子套路全新升级，竟将自己的助记词公之于众来诱骗用户。这究竟是什么情况，本文我们将来揭秘一种新骗局：账户权限更改骗局。

5 月中旬起，多名 imToken 用户反馈，TRX 钱包在转账时会出现乱码报错的提示（如下图所示）。

通过查询链上数据，我们发现这些用户地址都有一个共同点，即有下图中「更新账户权限」的交互记录。

点开查看详情，可以看到「发起地址」把「拥有者权限」转给了地址 B。这意味着，发起地址如果想要转账，需要得到地址 B 的同意。

这里的「发起地址」是指用户的 TRX 钱包账户，一个账户通常包含两种权限：「拥有者权限」和「活跃权限」。

拥有者权限是账户的最高权限，具有该权限的地址可进行该账户内的所有操作；
活跃权限提供某些操作的组合，比如你可设置一个活跃权限仅能执行 TRX 转账、冻结资产的操作。

由于用户的 TRX 钱包地址更新了账户权限，将自身账户的最高权限，即拥有者权限，转给了另一个地址 B，所以后续用户的地址发起转账时收到了报错提示。

那么用户的钱包地址怎么会无故出现「更新账户权限」的情况？

根据用户反馈，我们了解到这些钱包的助记词并不是用户自己的，而是别人给他们的。

比如，用户小王借给网友 1000 元，网友表示可以用自己的加密货币来交换，就给了小王一套钱包助记词。

小王导入助记词后，成功进入钱包页面并看到了代币，但要发起转账时，却出现了开头提到的的报错情况，这才意识到，自己可能被骗了，但代币已经有去无回了。

网友在给小王助记词之前，进行了「更新账户权限」的操作。即便你拥有助记词也无法转账，因为账户的最高权限在骗子网友手里，代币依旧由骗子掌控。

除了通过助记词抵债来行骗，骗子还会通过诱导用户下载假 imToken 等方式窃取助记词并更改用户的 TRX 钱包账户权限，导致用户失去账户的控制权。用户只能将代币转入钱包，却无法转出。

安全提醒：

如有人向你借钱并提出用助记词抵债，请提高警惕，对方很有可能是骗子！
下载 imToken 请认准我们的官网 https://token.im，并妥善保管助记词，避免泄漏。

最后

为了保障用户钱包安全、打造优质加密生态，imToken 致力于普及安全资讯并提供解决方案。

imToken 官方下载链接：https://token.im/download

安全建议｜如何安全保管数字钱包

本文将介绍去中心化钱包在使用过程中常见的安全问题，包括未妥善备份助记词、误将转账权限授权给恶意合约、遭遇诈骗事件和黑客攻击等。针对每个问题，本文提供了详细的应对策略，帮助用户更好地保护自己的数字资产。

随着加密代币的普及，去中心化钱包因其高自主性和安全性而受到广泛使用。然而，使用去中心化钱包也存在一些安全风险。本文将详细介绍这些常见问题，并提供相应的应对策略，帮助用户更好地管理和保护自己的数字代币。

1. 未妥善备份助记词

去中心化钱包不会保管用户的助记词，一旦丢失就无法找回。据统计，代币丢失最常见的原因之一就是用户没有妥善保管钱包助记词。如果助记词丢失或保管不当，钱包中的代币可能会永久丢失。另外，如果助记词保管不当，里面的代币很容易被他人获取。

应对策略：

使用钱包前请务必仔细确认助记词的正确性并妥善备份；
尽量采用物理介质备份助记词，例如抄写在纸上或使用助记词密盒，以确保助记词的安全；
确保全过程安全保管的前提下，可做必要的灾备，避免助记词单点备份的风险。

2. 误将转账权限授权给恶意合约

授权操作通常发生在使用 DApp 交互过程中。请务必谨慎授权，因为如果授权对象为恶意合约，钱包内的代币可能会被转移而不需要钱包拥有者的确认。DApp 生态鱼龙混杂，随意授权可能会导致资产损失，只能通过提高自身的安全意识来规避这类风险。

应对策略：

审核合约源代码：可以寻找专业的审核员对合约代码进行审核，确保它的安全性；
使用可信的合约：尽量选择知名可信任的合约；
定期检查钱包授权情况：若发现钱包授权与陌生合约，请尽快取消授权；推荐授权查询和取消网站 https://revoke.cash/zh；
明智地使用转账权限：请不要轻易授权转账权限，并且在确定授权后请保持警惕，随时准备取消授权。

3. 遭遇诈骗事件

骗子的诈骗手法层出不穷，警惕性不高的用户常常在不经意间就被骗子获取了助记词或代币转账权限，导致代币被盗。

应对策略：

保护好助记词/私钥：任何要求你提供助记词/私钥的短信/电话诈骗都不可信；
不要轻易点击未知的链接或下载未知的软件：可能是黑客伪装的钓鱼网址；
注意网站安全：应选择正规的网站，并确保网站的安全证书是有效的；
定期监控账户：定期查看钱包账户，以确保账户安全；
咨询专业机构：如果遇到诈骗事件，可以咨询专业的机构或警方。

4. 遭遇黑客攻击

在区块链上，助记词代表着资产所有权。一旦他人获取了你的助记词，就能在其他设备上导入助记词并盗取你的代币。因此，最重要的就是确保安全生成助记词并做好备份。

应对策略：

使用离线的硬件钱包生成并保存私钥以提高安全性，不要在联网的移动设备上保存以避免被黑客攻击和窃取；
只从官方渠道下载钱包软件和应用程序，不要下载未经验证的软件以避免安全风险和恶意软件窃取您的数字资产或其他敏感信息；
不要复制和粘贴钱包助记词或私钥，手动输入以提高安全性。同时，不要进行设备越狱或 root，以避免黑客利用漏洞窃取您的数字资产或其他敏感信息。另外，不要访问陌生链接以避免受到钓鱼攻击和数据泄露的风险，只访问已知的和受信任的链接。

其他建议

1. 做好冷热钱包隔离

热钱包（如 imToken）易于使用，但使用者需要具备良好的安全意识，硬件钱包（如imKey）通过安全芯片从硬件层面最大程度地保障私钥的安全，对新手更加友好。建议小额资产使用 imToken 软件钱包，大额资产使用 imKey 硬件钱包，软硬结合可在保证良好用户体验的同时最大程度地保障资产安全。

2. 定期更新软件和操作系统

定期更新或升级设备上的软件和操作系统，以修复漏洞或错误，避免被黑客攻击。

3. 管理设备上的应用

限制应用的自启动设置，彻底删除不需要的应用，不安装来源不明的程序。避免安装包含远程桌面查看功能的应用，因为不法分子可能会通过窥探桌面来盗取助记词或私钥。

4. 禁用云存储功能

切勿使用自动云功能将敏感数据上传到在线帐户，以避免因云端数据泄露造成敏感信息泄露的风险。

5. 使用强密码

设置由大写字母、小写字母、数字和特殊字符组成的强密码，并定期更改密码。

去中心化钱包为用户提供了更高的安全性和自主性，但也存在一些安全风险。通过了解这些常见问题并采取相应的应对策略，用户可以更好地保护自己的数字资产。

最后的建议，在区块链黑暗森林世界里，永远牢记下面这两大安全法则：

零信任。简单来说就是保持怀疑，而且是始终保持怀疑。
持续验证。你要相信，你就必须有能力去验证你怀疑的点，并把这种能力养成习惯。

体验 Web3 项目

查看所有篇文章

imKey RAW NFT 购买和实物交割教程 (RareShop)

请注意： RareShop 上的 imKey RWA NFT 购买业务现已停止。

涉及实物资产交割的用户，请前往此官方页面完成交割流程 https://rwa.imkey.im/

通过此教程，你将了解如何在 RareShop 上购买 imKey 硬件钱包的 RWA NFT，并进行实物交割。

一、RWA NFT 项目概述

RareShop 与 imKey 硬件钱包品牌合作，基于 ERC7765 资产协议标准在 Mint 网络上发行 imKey 硬件钱包全家桶套餐商品的 RWA NFT。该 NFT 定价 $139，购买后用户可以选择进行实物交割、礼品赠送，并有机会获得 Mint 生态的空投奖励。

RareShop 提供一站式 Web3 数字化技术解决方案，支持加密支付、隐私保护、商品预售等功能。

重要链接：

二、详细购买和交割步骤

1.跨链资金至 Mint Blockchain

利用 Mint Blockchain 的快速跨链桥，用户可以以极快速度、低费用和强大安全性将资产转移至 Mint，确保高效转移同时保持强大的安全性及低费用。

🍀 使用 Mint 快速跨桥的步骤

访问官方网站：前往 Mint Blockchain 网站的跨链桥页面。
连接您的钱包：点击「连接钱包」按钮并按照提示连接您的钱包。
选择链：选择您要从中转移资产的区块链和 Mint Blockchain。
完成转移：输入您要转移的金额并确认交易。

🍀 提示

大额转帐：如果您要存入超过 2 ETH 或提取超过 0.5 ETH，请使用薄荷超级桥获得更稳健的解决方案。
特定代币：如果您要跨链 USDC 或 USDT，请前往薄荷超级桥获得最佳体验。

2.在 RareShop 上购买 imKey RWA NFT

前往购买页面。
连接您的钱包。
使用 139 USDT 或 USDC 购买 imKey RWA NFT。
如果您是 MintID 或已激活 GreenID NFT 持有者，将获得 15 美元的现金返还。如果您是 Mint 生态系统的新用户，并且是前 5,000 名用户之一，您的帐户将获得 15 美元的优惠券，可在 RareShop 上的下次购买时使用。

3.实物交割

前往实物交割页面。
请完成所需的配送资讯的填写。配送费用将根据您的配送地点计算。如果您的国家/地区未列在我们的配送选项中，请选择「其他」并提供您的国家/地区详细资讯，我们将统一收取 40 USDT 的配送费用。

通过以上流程，你可成功购买和行权 imKey RWA NFT，并享受链上购物的全新体验。

如何使用 imKey Pro 进行 Tokenlon 闪兑？

本文手把手教你如何使用 imKey 在去中心化交易所 Tokenlon 进行币币兑换。

imKey 除了安全存储资产外，还支持使用 Tokenlon 的闪兑功能进行币币兑换。

什么是 Tokenlon？

Tokenlon 是去中心化交易支付结算协议，能够为用户提供「速度快」「价格优」「币种多」的去中心化币币兑换服务。

如何使用 imKey Pro 进行 Tokenlon 闪兑

打开 imKey 的 ETH 钱包并进入「市场」界面。在市场页面，设置好要兑换的代币和数量后点击「预览订单」。

阅读 Tokenlon 服务条款后，点击「我已阅读并同意《Tokenlon 服务条款》」，并确认。
确定订单信息无误后，点击「请求 imKey 确认」，并用 imKey 签名确认。耐心等待，直至兑换成功。
注：签名过程需要进行多次确认。
注：如提示「订单已过期，请重新下单」，则说明该交易申请已超时，需要重新点击「请求 imKey 确认」并用 imKey 完成签名。

返回 ETH 钱包，查看资产是否到账。若没有，点击「+」-「我的所有资产」，再点击代币右侧的「+」号，将代币添加至钱包首页。

如何在 imKey 使用 Orbiter Finance？

摘要
要在 imKey 使用 Orbiter Finance 进行跨链资产转移，请打开 imKey，切换到 Ethereum 网络，搜索并打开 Orbiter Finance 应用。选择要转移的代币和网络，输入金额，点击确认并在硬件设备上完成签名。等待交易完成后，切换到目标网络查看资产。如果遇到问题，联系 Orbiter Finance 官方支持。

什么是 Orbiter Finance？

Orbiter Finance 是一个去中心化跨链桥应用，提供低成本和几乎即时的资产跨链，是以太坊 Layer2 的基础设施之一。目前支持 Ethereum、zkSync Era、zkSync Lite、Polygon zkEVM、Polygon、Arbitrum、Arbitrum Nova、Loopring、Optimism、Immutable X、Starknet 以及 BNB Chain 之间的资产跨链。

点击了解更多关于 Orbiter Finance 的信息。

如何使用 Orbiter Finance 进行资产跨链？

你可以通过 Orbiter Finance 在不同的区块链网络之间转移资产。本文以 ETH 从 Ethereum 网络跨链到 zkSync Era 网络为例进行操作，具体步骤如下：

打开 imKey 钱包，点击「跨链」找到「Orbiter 」并打开改应用。

点击「确认」，同意该应用访问钱包地址。

选择要跨链转移的代币，以及发送和接收资产的网络。

输入要转移的代币数量后，依次点击「SEND」-「CONFIRM AND SEND」-「请求 imKey 确认」，最后在硬件设备上完成签名确认。

等待状态从「Processing」变成「Completed」，并且下方出现三个绿色完成图标时，说明交易已完成。返回 imKey 首页切换到 zkSync Era 网络，即可看到资产。

如果使用 Orbiter Finance 遇到问题，请联系 Orbiter Finance 官方咨询：

Discord：http://discord.gg/orbiter-finance
Twitter：https://twitter.com/Orbiter_Finance

最后

imKey 是由 imToken 孵化的专业硬件冷钱包，与 imToken 深度集成并且同样支持 Layer2 生态。如果对钱包的安全性有更高的要求或需要存储大额资产，强烈推荐使用 imKey 硬件钱包。imKey 将为你提供卓越的安全性和便捷的使用体验。

风险提示：本文内容均不构成任何形式的投资意见或建议。imToken 对本文所提及的第三方服务和产品不做任何保证和承诺，亦不承担任何责任。代币投资有风险，请谨慎评估该等投资风险，咨询相关专业人士后自行作出决定。

手把手教你使用 Feee.io 进行能量租赁

摘要
Feee.io 是一个在 TRON 区块链上的能量租赁平台，用户能够在这个平台从 TRX 质押者以较低的成本获取所需的能量，从而有效降低自己账户中 TRX 的燃烧以及减少转账 USDT 时消耗的手续费。

Feee.io 是什么？

Feee.io 是一个在 TRON 区块链上的能量租赁平台，用户能够在这个平台从 TRX 质押者以较低的成本获取所需的能量，从而有效降低自己账户中 TRX 的燃烧以及减少转账 USDT 时消耗的手续费。

能量租期可选择 1 小时至 1 个月不等，点击了解更多关于 Feee.io 的信息。

如何在 imKey 中使用 Feee.io？

1. 打开 imKey 钱包，切换到 TRON 账户，在功能栏点击「能量租赁」进入 Feee.io。

注：如果进入显示的是英文界面，你可以点击页面右上角，切换语言为简体中文

2. 接收方默认为当前账户地址，输入需要租用的能量数以及租赁时间，点击「支付」并在弹窗页面再次确认支付，等待订单完成，能量就会发放至对应账户。

常见问题

Q1. 支付成功后，能量什么时候到账？

答：付款完成后，能量会在几分钟内到账。由于广播延迟等原因，极少数情况，会存在 5 到 10 分钟的延迟。

Q2. 能量使用后多久能恢复？

答：能量使用后将会在 24 小时内恢复。

Q3. 如果我想租赁带宽的话，我应该如何租赁？

答：你可以在 Feee.io 左上角的菜单栏中进入「交易市场」，点击「购买」选择带宽，按照需要的数量以及时间进行租赁。

Q4. 订单可以撤回吗?

答：订单生成后，暂不支持撤回。

Q5. 订单生成失败但仍扣除了代币，怎么办?

答：你可以发送邮件至 service@feee.io 或者在 Telegram 上联系 Feee.io 的官方客服 @trongascom。

点击了解更多关于 Feee.io 的常见问题。

如何使用 imKey 参与非托管 ETH 质押？

如果你持有 32 个及以上的 ETH，即可选择使用 imKey 参与非托管 ETH 质押，本文将手把手教你如何操作。

imKey 硬件钱包现已正式支持通过 imToken 参与非托管 ETH 质押。

imToken 的「非托管」方案适合对资产安全有较高要求的用户，该方案让质押用户在获取稳定收益的同时，最大程度地保证用户对质押资产的所有权和控制权，且无需操心验证节点的运维服务。

如果你持有 32 个及以上的 ETH，即可选择非托管质押方案，在以太坊共识层上拥有一个属于你的验证节点。

使用 imKey 参与非托管 ETH 质押

打开 imToken，点击左上角的导航栏进入「选择账户」界面，再点击 imKey 硬件钱包的 ETH 账户。

在 imKey 的 ETH 账户首页点击「质押」进入以太坊质押界面，再点击「质押」。输入要购买的验证器（即验证节点）数量，一个验证节点需要存入 32 个 ETH。确认验证器数量后，点击「下一步」进入费用确认页面。

选择 imKey 的 ETH 账户地址，进行费用确认。费用分为 4 部分：

质押金额：每个验证器需要质押 32 个 ETH；
运维服务费：InfStones 维护节点运行的服务费 0.2 ETH / 台 / 年；
区块奖励分成费：每次产生额外的区块奖励收入时自动按比例分配，80% 分配给验证器，20% 分配给服务提供商；
矿工费：发送这笔交易所需的矿工费，该费用取决于以太坊网络实时情况。

注：当前运维服务费为 0.2 ETH / 台 / 年，购买时请以产品端显示的费用为准。

提前了解并确认风险条款，确认无误后勾选条款，同时请注意：

imKey ETH 账户的助记词将用于取回共识层上质押的资产，因此请务必安全备份助记词。助记词一旦丢失，则无法取回存入的 ETH 本金和累计收益。
助记词备份，推荐使用 imKey 不锈钢助记词密盒。

确认条款后会唤起「在 APP 内签名」界面，点击「请求 imKey 确认」，同时在 imKey 上确认授权签名。

等待「创建验证器」完成后，进入请求质押步骤，点击「请求 imKey 确认」，同时在 imKey 上确认支付信息、收款地址及支付矿工费。

等待共识层的确认及验证器的激活

交易成功后等待共识层的确认，预计等待时间为 12～18 小时。
交易在共识层上确认后，验证器将处于「排队中」即等待被激活的状态，等待时间取决于网络中等待激活的验证器数量，共识层每天可激活 900 个验证器，截止发稿，等待激活时间约为 4 天。
当验证器显示「活跃」的状态代表已激活，验证器开始工作并产生收益，此时你可在以太坊质押界面查看收益率、累计收益等详情。
信标链浏览器：

收益说明

以太坊质押收益由两部分组成：

质押奖励：验证器在以太坊共识层完成区块验证和构建工作，即可获取此奖励。
区块奖励：当验证器被选中构建特定区块时，可获得对应区块中所有交易的矿工费，另外还可通过区块拍卖市场获取额外的拍卖收入。

你可以通过博客文章：「了解非托管 ETH 质押服务的收益组成」了解更多相关信息。