小狐狸和imToken钱包被盗?针对主流钱包的攻击 钓鱼正大规模爆发

近期业内各种钱包安全事件层出不穷：

4月18日，MetaMask钱包开发人员@tayvano_的一条5000枚ETH盗币推文在加密社区广泛传播，认为MetaMask存在漏洞，引起社区恐慌。4月19日，MetaMask回复因其漏洞被盗不实，但正研究此漏洞来源。

4月20日imToken官方提醒近期有诈骗分子假冒imToken官方人员，通过发送短信等方式联系用户，诱导用户访问假网站并输入助记词，导致用户遭受资产损失，而4月21日慢雾研究员称谷歌搜索imToken后的置顶广告为新型钓鱼网站，请用户切勿点击链接，注意规避风险。

4月22日，TrustWallet发布公告，去年11月14日至23日创建新钱包的地址存在漏洞，为受影响用户创建补偿流程。

随着DeFi、NFT等链上交互需求的爆发，行业早已不像早期那会儿，只要在CEX买coin并放在CEX就可以满足大多数投资者的需求，大多数投资者会将部分甚至全部Token放在自己的钱包里，这也导致了这个行业变成了黑客的天堂、时不时会传出一些投资者因为授权，下载假的APP泄漏私钥或者钱包自身漏洞等问题，导致自己资产被盗，到头来变成一场空，保证自有资产安全已经成为行业内一项必不可少的技能。

接下来，我们将从钱包相关知识、被盗案例以及保护私钥等知识等几个方面来全面了解如何保护区块链资产安全。

钱包相关知识

在保证自己资产安全之前，需要先对业内一些关于钱包等基础知识有一定了解，才能更好的理解如何保护自己的资产。接下来简单介绍下几个相关概念。

1.对称加密与非对称加密

在了解公（私）钥之前，我们先简单了解下密码学中的对称加密与非对称加密。对称加密，是指A通过某种算法，可以得到B，而反过来，B通过相同的算法也可以逆向解密出A，这里加密解密用的是同一种算法；而非对称加密，则是A通过某种算法，可以得到B，但B无法通过相同的算法逆向解密出B，这里的加密解密需要用到不同的算法。

如图，对称加密与非对称加密的区别在于图中消息接收方公钥与消息接收方私钥是否为同一把钥匙。

2.公（私）钥，助记词，地址

了解了对称加密与非对称加密，可以更好的理解一些钱包相关的基本概念。

密钥对：在非对称加密中，有一对密钥对，分别为公钥与私钥，公钥是公开的，私钥是不公开的。

公钥：用来给数据加密，用公钥加密的数据只能使用私钥解密。

私钥：私钥可以生成公钥，用来解密公钥加密的数据。

地址：与公钥相对应，由于公钥过长，于是有了地址，地址由公钥生成。

助记词：与私钥相对应，因为私钥是随机生成的字符串，过长且难记，于是催生了一组人类可读的单词代替私钥，用来帮助用户记住私钥，一般是12个无规律的短语。（私钥=助记词）