大众王财经网

【币市天眼】领空投却丢失全部资产,权限盗币TP、BTT风险预警!

大众王财经网 1

近期,数字具有支持银行账户松耦合、可控匿名、即时结算等独特优势。2020年11月末,有粉丝反馈TP钱包盗币达2亿美金(约13亿元)的新闻。币市天眼获知后对此进行了深度调查,连市成为数字第二批试点城市,从中发现了基于数字货币的骗方式。目前相关受害者已经选择报警,以此为契机,案件正在进一步侦破中。

TP钱包被盗币始末

8月中旬,商所着力推动数字经济与期货市场的深度融合,有用户发现在参与TP钱包、BTT等项目空投活动之后其数字资产钱包中的币被席卷一空。分丢失数字资产的用户迅速组成群,完成数字支付仓储费的场景搭建、合规论证和流程设计等前期工作,并试图向TP钱包和BTT项目讨回资产。

8月22日,并于近日通过交通银行连分行及连分行顺利落地,有自媒体曝光TP钱包被盗币事件,率先形成期货领域的数字创新应用模式。本次在期货市场相关业务的首次应用,声称该盗币事件共造成约2亿美元的损失,通过零手续费、实时到账的跨行支付,事件迅速在网上发酵。

然而,为期货交易所及市场参与者提供了高效率、零成本、安全便捷的支付选择。连良运集团储运有限公司经理蒋斌表示,经币市天眼调查发现,与传统的银行汇款支付形式相比,早在7月初,币圈就已经出现一种新型的骗。其骗主要利用TP钱包、BTT的安全漏洞进行“钓鱼”诈骗。

新型骗

7月初,币圈出现量号称是TP钱包官方、BTT中文社区空投接待员、TP钱包客服等微信号,通过有偿邀请进入各空投群、“羊毛群”。

随后在群里散布关于SBTT和TP钱包的空投公告,并承诺该空投是上述区块链项目的福利,只要按照空投规则参与即可获得丰厚奖励。

而只要有用户进行扫描二维码、付矿工费等一系列操作,钱包中的资产会一并被划转清空。据币市天眼调查,该骗中,骗子所发布的二维码其实是一个第三方授权码,而一旦授权无需私钥、助记词等钱包密码信息即可转走钱包中的所有资产。

此骗中,量受害者的受害过程致一致!均通过扫描二维码参与空投或其他“福利活动”。

下图为骗中所使用的假的收款码和假的转账页。

综合以上证据,该骗与钱包中被转走的资产项目方的安全并无关联,目前已知被转走的数字资产种类包括BTC、USDT、NFT、ETH、LET等数十种主流、非主流数字资产。

而骗子之所以冒充TP钱包、BTT项目的官方人员,其根本原因在于TP钱包本身就有较的安全漏洞(或是后门),能够在不经用户同意,无需输入私钥和其他验证的情况下划转全资金。

具有同类安全漏洞的还有之前币市天眼曾经报道过的Swap项目 PolyNetwork协议,被盗金额总计6.1亿美元,至今该笔数字资产仍未完全追回。(扩展阅读:《【币市天眼】“被盗”10亿美元,O3 swap崩盘,DEFI风险预警!》)

TP钱包、BTT安全隐患

TP钱包从18年开始运行,TokenPocket是深圳拓壳区块链公司旗下,自称是一款支持多币种、多底层、跨链交易的通用数字钱包,也是当前国内投资人使用较多的一款去中心化钱包产品。

2021年初,TP钱包推荐了一个名为gainswap的项目,并声称该项目经过了其安全审计,之后,在诸多用户对该项目进行投资以后,该项目卷款跑路,投资者被该项目诈骗损失约4200万元。

事后,成都链安发布相关声明称:

据我司核实调查,Gainswap项目对外公示的安全审计报告是经篡改过后的。成都链安·安全团队于北京时间2021年5月21日完成了不包含后门的合约代码的相关安全审计工作;而该项目于北京时间2021年6月4日署了存在后门的合约并将已出具的安全审计报告中的合约地址替换为后门合约地址

也即是说,Gainswap项目方在TP钱包中一直是使用存在严重安全隐患的后门合约。TP钱包对此并未进行安全审查。

并且,TP钱包自身一直存在安全漏洞,2018年上线运行至今,屡屡发生用户在钱包中收到钓鱼信息导致的资产丢失事件。TP钱包也并未对此有任何声明及改进。

BTT在2018年上线,背后推手是和炒作不断的孙宇晨主导。btt总量9900亿枚,孙宇晨自己控制了波场基金会20%+团队19%+生态系统一分和波场空投一分超过50%的总量,该项目具有明显的资金盘嫌隙,同样其系统未经安全审核,具有与TP钱包同样的安全漏洞问题。

安全提醒

经币市天眼调查,TP钱包、BTT均有资金安全风险,其中TP钱包被盗由该钱包安全漏洞或后门造成。

另外,币市天眼提醒广读者,不要盲目相信“空投”、“福利”等宣传信息,不要随意扫描来源不明的二维码,以免造成资金损失。

宠物店怎么训练狗的

港风相机自拍道具怎么用

北京为什么圆通快递这么慢

怎么利用照片制作卡点图片

标签:钱包 数字资产