如今,區塊鏈概念深入人心,數字錢包成為人們了解和參與區塊鏈生態的主要途徑。然而,由於利益驅使,一些人鋌而走險,走上製作和傳播假錢包的犯罪道路。當前假錢包網站和應用在網絡中已大量存在,成為新手入門的“絆腳石”,給個人資產帶來了巨大的潛在風險。
本期文章旨在揭露假錢包的概念、危害、分發和傳播途徑等欺詐手段,使用戶充分了解到假錢包使用和傳播的危害,希望提高用戶對假錢包和假官網的識彆能力,確保用戶能夠安全、穩妥地掌握自己的資產。
什麼是假錢包
假錢包是詐騙分子通過對正版錢包apk或 ipa進行反編譯,加入對創建或導入錢包的私鑰、助記詞數據盜取功能,重新打包後分發到網絡中引導用戶下載。一旦用戶下載使用假錢包那麼私鑰、助記詞數據會自動同步到詐騙分子服務器中進行監控,一旦檢測到大額資產會立即盜取或者設置惡意多簽,最終導致資產被盜。
通過TokenPocket官網的下載頁面可以查看錢包的版本號、哈希值等數據,任何和官方版本數據不符的客戶端都是假錢包,可以通過安裝包哈希值驗證教程來驗證錢包的真偽。
正版TokenPocket驗證方法:
1️⃣官網驗證:https://verify.tpwallet.io/
2️⃣文字教程:https://help.tokenpocket.pro/cn/secirity-knowledge/protective-measures/verification
3️⃣視頻教程:https://www.bilibili.com/video/BV18M4y1B7Hy
注:正版TP Wallet請認準開發者為:TP Global Ltd
假錢包巨大危害
三方渠道數據:
Trend+研究團隊發現了所有最受歡迎的加密錢包應用程序的假冒版本,包括 TokenPocket、imToken、MetaMask、Trust Wallet 和 Bitpie,研究人員表示總共發現了 249 個假冒應用程序,這些應用程序由世界各地的受害者下載,包括美國、法國、德國、澳大利亞、新西蘭,還有日本。
數據來源:Trend+安全團隊
慢霧AML團隊研究結果顯示,據不完全統計截止2021年因下載假錢包App導致資產被盜的受害者規模已有上萬人,被盜金額高達十三億美元。目前,這一個被盜數據依然是一個爆發的增長勢態。
根據慢霧MistTrack所接觸的受害者信息收集統計,因下載假錢包App被盜的比例占受害者被盜原因的61%,而私鑰泄露占28%,其他原因包括授權被盜、詐騙以及合約漏洞。
數據來源:慢霧安全團隊
幣追 Bitrace 團隊長期關注盜幣犯罪態勢,針對這類假錢包多簽騙局進行過專門的分析、跟蹤和報道。
假錢包導致的波場錢包惡意多簽的主要症狀有:無法正常使用自己的加密貨幣錢包 APP,具體表現為轉賬報錯,也無法調用其他鏈上合約,但轉入正常,最後賬戶內的資產被一次性轉走。經查,均係下載假錢包 APP 導致密鑰泄露,進而被盜幣者非法更改賬戶權限。
數據來源:幣追安全團隊
綜合幣追、慢霧和Trend+安全團隊的數據,我們充分的看到了假錢包的危害之深,受騙資產之大。這些詐騙活動通過各種手段傳播,還在其背後形成了龐大的產業鏈。假錢包詐騙活動廣泛危害著用戶群體,給用戶造成了嚴重的經濟損害。
假錢包製作和分發渠道
1、搜索引擎渠道:
在我們日常生活中,搜索工具已成為一種極為常用的信息獲取渠道。正因為其普遍性,騙子們巧妙地利用人們的使用習慣和搜索產品排名的優化等方式,以實現其欺詐傳播的目的。數據顯示,騙子們通過操縱搜索引擎結果,優化假信息的曝光率,將假錢包源碼等欺詐性內容置於用戶搜索結果的前列,增加被查看或傳播的可能性。
例如使用【TP錢包源碼】在穀歌和百度中搜索,部分結果如下:
百度搜索結果↑↑↑
穀歌搜索結果↑↑↑
2、視頻傳播渠道
假錢包通過視頻平台的傳播途徑日益成為一個主要渠道,近期上升趨勢明顯,成為詐騙者在傳播假官網後的又一“亮點”。視頻的傳播效果對於新用戶誘導性很強,危害更大,以下是搜索結果中部分內容展示。
3、社交平台渠道
假錢包源碼還會通過社交平台傳播,尤其在QQ社區、微信社區以及Telegram社區。欺詐者借助社交平台廣泛的用戶群體,通過在群組中傳播假錢包源碼的教程和宣傳,甚至引誘用戶參與假錢包或假錢包源碼的分發和傳播,根據傳播業績的比例或盜取資產的比例來進行收益分配。
以下是一些惡意源碼或盜取資產技術社區傳播的內容。
通過傳播假錢包源碼和製作假錢包,這些行為構成了假錢包傳播的根源。通過上述渠道,我們了解到現狀並不容樂觀。詐騙者充分利用網絡傳播的主流途徑,形成了一個完整的產業鏈。這對整個區塊鏈環境造成了巨大威脅,因為幾乎所有主流錢包都能在網絡上找到假錢包的信息。
假錢包傳播渠道
百度是日常使用最多的搜索引擎,曆史市場占有率高達84.3%,其次是必應、搜狗,搜索引擎市場占比數據如下:
前四位搜索引擎搜索TP錢包的結果如下:
百度搜索↑↑↑
必應搜索↑↑↑
搜狗搜索↑↑↑
穀歌搜索↑↑↑
根據上面的搜索數據顯示,偽裝成假錢包的欺詐行為已經廣泛蔓延至主流的搜索平台。這些欺詐行為通常通過偽造官方網站鏈接、製作虛假視頻或采用其他引導手段,來傳播假錢包。
我們強烈建議用戶提高安全意識,確保訪問TP錢包官網:tokenpocket.pro tpwallet.io或其他官方推薦渠道(Google Play等)。使用正版錢包,是資產安全的最基本保障。
假錢包如何防範
錢包的下載和驗證是我們在區塊鏈領域都應該掌握的基本知識。同時,養成良好的使用習慣至關重要,特彆是對於去中心化自托管產品,務必選擇官方渠道。以下是一些建議,有助於降低遭遇欺詐行為的風險。
1、謹慎選擇搜索結果:選擇搜索結果時,避免依賴搜索引擎中的推薦結果,欺詐者可能通過偽造官方網站鏈接、製作虛假視頻或其他欺騙手段來推廣假錢包。使用官網鏈接才是最安全的選擇。
2、驗證官方網址: 僅使用官方網址來訪問錢包。對於TokenPocket用戶,確保你隻使用 tokenpocket.pro tpwallet.io 或其他官方推薦渠道(GooglePlay等)。
3、使用增強安全產品: TokenPocket支持多元化安全產品,例如冷錢包,硬件錢包,多簽錢包,AA智能錢包,Passphrase隱藏錢包,NFC備份卡、隱私錢包等。這些功能或產品提供了額外的安全保障,對資產的安全有很大的促進設置決定性作用。
4、加強學習: 持續學習有關區塊鏈錢包的安全和反詐知識,並保持對新型欺詐手段的警惕。通過采取這些預防措施,用戶可以最大程度地減少遭遇使用區塊鏈假錢包等潛在風險,確保數字資產的安全。
資產安全建議
在使用去中心自托管錢包時,最不能畏懼的是一些繁瑣事務,例如私鑰助記詞的備份必須以離線方式進行,做好保存,不要丟失或泄露(可以選擇備份卡這種NFC方式的離線備份方式)。而最不容忽視的則是安全,從小額轉賬的釣魚騙局,到假錢包、惡意授權或惡意多簽,每不經意的疏漏都可能導致資產的風險。
尤其是在安卓客戶端,由於其較高的開放性,一些惡意APP可以輕鬆地獲取更多權限。因此,請務必不要隨意使用非官方的區塊鏈相關產品,更不要使用任何聯網平台保存私鑰和助記詞,確保你的資產遠離潛在威脅。在數字資產的領域,時刻保持警覺和謹慎至關重要。
