安全性存疑,imtoken丢币事件频发是监守自盗还是内部有人作恶?
来源:    发布时间: 2023-11-28 17:12   107 次浏览   大小:  16px  14px  12px
提到imtoken丢币问题,还得从八月份的 DEX 说起,圈内人也应该都知道imToken DEX其实在8月18日之前, 几乎是没有多少用户在使用的;但是也不知道为什么,8月18日之后,imToken的数据却呈现了异常的暴增状态。

提到imtoken丢币问题,还得从八月份的 DEX 说起,圈内人也应该都知道imToken DEX其实在8月18日之前, 几乎是没有多少用户在使用的;但是也不知道为什么,8月18日之后,imToken的数据却呈现了异常的暴增状态。恐怕能在币圈靠短时间内暴增的交易所,扳着手数也找不到一家。


而imToken做到了,还宣传自身用户量暴增424%,并且一举成为了以太坊 DEX 排行榜的第一名;其还并进行了大量的宣传报道


但根据比特派对 imtoken DEX 区块链上的交易记录的检索,认为imtoken DEX 中99%的日活和大部分交易量都是假的。比特派创始人兼CEO文浩笑称:他们造假挺简单的,甚至连道弯儿也没拐。

为了求证imtoken 是否作假交易的数据,区块天眼也特地跑去询问了圈内比较知名的安全公司,证实如果相关数据信息一旦经过自己的服务器,储存是肯定的,即使不储存,相关公司也能在网络请求过程中拦截且查看用户信息。


也也是说imtoken 的安全稳定性很能够是会存在漏洞补丁或弄虚作假的,但还需我们与今天一齐锊一些下面的短信息的真实的性~ 01 imtoken搬砖对冲套利 据高度金额财力安会追综app平台CoinHunter回访,前端时件有户还需准备丢币时件回访称经受imtoken“成交回滚”进行诈骗。

且钓鱼账号创建假的imtoken官方电报群并充当官方技术人员身份,引导“搬砖套利"被骗用户在指定网站输入私钥进行所谓“交易回滚”操作进行二次诈骗。


目前该电报群内人数已达68000人,已有诸多用户遭遇“搬砖套利”及“交易回滚”诈骗。而该问题也恰恰反映了imtoken对于用户的信息存在监守自盗,利用用户的信息进行无耻的诈骗割韭菜。


02 DEX市场成交动态数据造假,市场成交所被指“乌托邦” 前不长,有效果户在某微信营销群中观点,imToken DEX在披露的本周购买资料中透露,其DEX购买量与顾客量双第二。然基于新闻哥追述看见,其实是在imtoken DEX 中99%的日活和大这地方购买量还是假的;且发生的购买资料大这地方也是做假假冒的。 而相对于此种去中心的化寄售所,圈外人人大都指出“不不错”。

比如节点资本创始人杜均在接受媒体采访时表示,个人不看好DEX,也不会投资DEX,DEX只会成为小众产品,类似乌托邦,看似美好但是无法实现。中心化交易所的高效、优质服务以及品牌不会让我选择DEX。


而针对于imToken DEX数据造假一事,小编认为原本去中心化交易所就存在安全方面的问题;但是imToken却顺势而为的就做了下去,对待用户极度的不真诚,这样的imToken是不值得用户们去信任的。


03 观众金融资产一整天蒸发器

今年五月,一名来自海南的炒币玩家江先生,在4月27日的凌晨2点多,自己没有对imtoken进行任何操作的前提下,发现自己账户里的USDT等币种被系数转走,损失近3万元,现在账户里只剩下不到10块钱的资产。


发现异常的江先生立即联系了imtoken的客服,并提供了被转出地址。客服告知他的币已经被转去了火币,需要联系火币冻结对方的账户。


而火币则说需要让imtoken的精英团队報警,就在火币与imtoken的踢皮球历程中,入侵网站逐渐取得胜利进行交易了。

(火币方回复)


(imtoken方回复)


江先生意识到事情的严重性,很快报警,然而在配合警方调查期间和立案之后,不知道imtoken是否因为涉案金额太小而没有放在心上,全程也没有提供任何帮助和证明,仅仅靠几封邮件打发了用户。那么江先生损失27780元人民币就这么打了水漂?imtoken在被追问责任时表示:我们是去中心化钱包,对用户的资产没有控制权。


但对于那些近七万用户数而言,诞生丢币现状也许也是是个例, 而引人疑问的是,imtoken长款钱包是否需要够了应急呢? 04

imtoken钱包安全性存疑


首先,我们先用安卓抓包针对imtoken进行分析,这个imtoken是否真的去中心化,不存储用户任何信息,通过导入一个EtH 私钥进行测试。

导入私钥


输入密码,当然为了隐藏身份,我们在图中打了马赛克


(请求地址http://mainnet-bizapi.token.im/rpc ,该地址是IMtoken的服务地址之一。HTTP请求header信息如下图所示)


(header关键字段,authorization: Token eyXXXXXXXXXXXXXXXX,应该是某些参数加密后的产生的,而具体是什么加密算法,我们尚不知晓。)

HTTP请求body信息如下,箭头为测试的地址如下图所示:


其中http 的请求 header 和 body有什么作用呢?


其实就是把数据传递出去,要不怎么能导入你的资产,那么,其中的数据究竟传递给了谁?我们来看看到底请求了那些URL地址。


从中我们可以得出,所有涉及IMtoken钱包的地址都与token.im有关,而从这几个地址起来看,imtoken都没有将私钥发送出去,这是否意味着,imtoken没有对用户的私钥密码等进行存储,钱包是安全的?


那么imtoken又是如何导入我们的钱包的呢?是真的去中心化,还是自有神奇之处,然而,最关键之处在于,我们上面所说的HTTP header里面的参数 ,特别是authorization字段 ,该字段里面是通过别的header信息,body信息,和私钥进行了加密,所以不能直接看到私钥。

当把authorization等信息传递到IMtoken钱包服务器上面以后,通过authorization,别的header信息,body信息解密出私钥等密码,从而导入用户钱包。


据之前imToken安全团队收到用户邮件举报,钱包中的ETH被恶意盗取,经分析,所有被盗地址均是使用MGC钱包创建的钱包地址;再加上近期imToken的所作所为来看,imToken存在跑路作弊的动机。且以目前币圈的行情来看,imToken钱包是很难盈利的,更可况从数据抓包来看,用户的密码登信息是经过imtoken服务器的,也就是说用户们的数据要经过他们自己的服务器。


访客们的数值经途买卖所属于我的的服务于器会会存在一些呢防护保障问题呢?板块天眼的今天专门跑去查问了设计圈内更着名的防护保障子司,表明其实相应的联数值内容一旦发现经途属于我的的服务于器,保管是一定的,就是不保管,相应的联子司怎样才能在数据网络ajax请求工作中短信拦截且获取访客内容;也先说明确访客的内容在imToken是及度的不防护保障,时时有着被透露和丢币的危险区。么,从访客方向动身,imtoken现金若的确专注爱护访客秘钥,为一些呢还在不断的丢币情况呢?害怕就imtoken属于我知了吧。是以币圈也常有的割韭黄国际惯例,在其实的时局下imToken很有将会最初利于访客的内容实现割韭黄,接下来会消失于币海。 imtoken以“你的第一名个自动化数字式钱啦”打到餐饮市面,从餐饮市面一落千丈到一夜间特火,总之仍然有很多人将但愿期望于去平台化钱啦。 然相继的案例分析不容置疑就算在给业主们敲着警醒,imtoken真不都知道是在执行去中央化的道路,或者在走币圈斧头的老路,我们大家尚不认同,并不是都知道的,就算币圈水深,事事要慎重。