dot币

今天，imToken安全团队收到用户的电子邮件报告，称钱包中的ETH被恶意窃取。

该小组在第一时间分析了被盗的钱包地址，并发现了盗窃的共同特征——所有被盗的地址都是LCS钱包创建的钱包地址。

为了进一步确定偷钱的方法，该小组搜索了关于LCS钱包的相关信息，并联系了被盗用户。情况如下：

用户下载LCS钱包生成的助记码或将助记码导入LCS钱包；

在生成或导入助记符的过程中，助记符以明文形式存储在LCS钱包服务器上，即LCS钱包是集中式钱包；

用户将用过的LCS钱包的地址导入imToken钱包或其他分散钱包，但助记符仍保存在LCS钱包服务器中，随时存在被盗的风险；

所有LCS被盗资产都定期转移到被盗货币地址。

imToken安全团队特此提醒LCS钱包用户立即停止使用由LCS钱包管理(生成或导入)的地址，在ImToken中生成新的钱包地址并转移资产。LCS被盗硬币的受害者，请尽快向当地公安机关报案。

以下是imToken安全团队跟踪的相关信息：

被盗货币地址是

0xeba  337 eeed  f  030 f  88 a  7b  0066 EC  137638 f  9355189(从该地址盗取的每个ETH金额较小，仍有大量交易不在打包。

地址

0xeba  337 eeed  f  030 f  88 a  7b  0066 EC  137638 f  9355189在17小时内完成了12，000多笔交易，还有大量不在打包的交易等待完成。可以推断，偷钱贼掌握了上万个被盗钱包的私钥，通过程序进行非法偷钱。

地址

0xeba  337 eeed  f  030 f  88 a  7b  0066 EC  137638 f  9355189有四条转账交易记录，可以跟踪资产的最终流向，查看交易记录

https://cn.etherscan.com/txs?a=0xeba  337 eeed  f  030 f  88 a7b  0066 EC  137638 f  9355189 f=2

LCS合约地址：

0xe  62 e6e  6 C3 b  808 faad  3a  54 b  226379466544d  76 ea  4 .

LCS钱包是一个集中式的钱包，可以存储用户的助记符，而不是广告中所说的分散式钱包。

LCS钱包收集用户私钥的助记词[抓包分析]

简单来说，如果想知道钱包是否收集了用户的助记私钥，可以观察钱包是以明文还是加密的方式将私钥助记词传输到服务器。

以LCS钱包为例：

1.下载并安装LCS钱包，用“导入钱包”打开主页。我们将导入一个测试助记词，并单击以确认导入。

2.在此过程中，可以通过数据包捕获分析观察钱包，并将助记符上传到界面：

3.助记符和密码以明文形式直接发送到服务器。目前服务器返回的结果是升级，但是数据已经上传到服务器，所以测试伙伴一定不能使用真实的私钥或者助记符进行测试。

因此，可以判断，LCS钱包用户的私钥和助记词在首次使用LCS钱包时被完全泄露。

吓了我一身冷汗，我从来不敢把imtoken或者其他钱包的私钥导入不熟悉的钱包。千万，不要把一个钱包的私钥导入其他钱包，以免以后麻烦。作为最后的手段，我们必须确认和再确认。两个钱包都是分散钱包，一定要确认。