你的钱包又丢了？拿什么救你我的钱包

那边的金融钱包Tokenstore刚刚跑路，又一部大戏匆匆“上映”了。 谁将获得“最不靠谱的钱包”已成未知数。

事件重播钱包中的以太坊说它不见了

6月12日，为用户提供实体套利服务的数字钱包MGC Token疑似被盗。 大量用户反映资产被盗。 疑似团队卷款跑路。

MGC 钱包用户：怎么回事，我钱包里的以太币是怎么被转走的？

MGC官方：以太坊公链有问题，黑客太强了，80%的以太坊被盗了，但是我们会用MGC币来弥补损失。 另外请用户解绑imToken等第三方钱包。

imToken：打扰一下？ 你保存了用户的私钥，想甩给我？

巧合的是，百亿资金一说就飞

就在事发前两天，6月10日，TokenStore钱包被曝疑似“跑路”，卷走投资者数十亿资金，涉及BTC、XRP、ETH等多种主流币种。

PeckShield安全人员锁定目标资产（EOS部分）发现，截至目前，已有25803个EOS流入火币交易所，1581个EOS流入中币交易所，共计2384个EOS，折合价值超120万元.

不得不说，大家怀疑MGC Token“跑路”真的是狼多了。

5月31日，TokenStore平台发布公告称，由于受到黑客攻击，系统将全面升级维护10天，并强调无论发生什么情况，平台将继续运营。

社区负责人极力说服大家，平台正在正常升级，十天后雨就过去了。 “没关系，你放心，十天后，我们就会看到结果。”

10天后，事情真的告一段落了！

6月10日上午，TokenStore中国区主要负责人、微信昵称“牛牛”的人在投资人群中表示，“非常难过地告诉大家，TS可能真的走了”。

目前TokenStore官网显示无法访问，App钱包无法进行转账、交易等操作。

在此之前，我们已经经历过worldtoken和tc炒币机器人跑路的盛况。

钱包里的币是怎么“被盗”的？

那么，此次MGC Token钱包是如何被盗的呢？

根据imToken官方发布的声明，通过对被盗钱包地址的分析，他们发现了此次盗窃的共性——所有被盗地址都是使用MGC钱包创建的钱包地址。

为了进一步确定盗款方式，他们了解了MGC钱包的相关信息，联系了被盗用户，最后分析了大概情况：

1、用户下载并使用MGC钱包生成助记词；

2、MGC钱包生成的助记词以明文形式存储在MGC钱包服务器上，即MGC是中心化钱包；

3、用户将MGC生成的钱包导入imToken钱包或其他去中心化钱包，但助记词存放在MGC项目方的服务器中以太坊钱包能存哪些币，被盗风险高；

4.所有MGC被盗资产被转移到两个被盗币地址。 第一个被盗地址以0x2B29开头（从该地址盗取的每个ETH数量很少）； 第二个盗窃地址以0x4f9c开头（从该地址盗取的每个ETH数量都比较大）； 第一个地址在短短四个小时内完成了 29,000 多笔交易，还有大量未打包的交易等待完成。 可以推断，盗币者掌握了数万个被盗钱包的私钥，并通过该程序实施了非法盗币。

“实际上，他们（用户）会在MGC上生成钱包，将自己的ETH转入MGC生成的地址，再导入imToken，因为MGC钱包的私钥是在MGC上生成的，MGC拥有私钥key ，所以无论用户导入哪个钱包，MGC都可以窃取该地址的ETH。” imToken产品经理郭涛向火鸟财经解释道。

众所周知，在区块链世界中，拥有私钥就意味着拥有私钥对应地址的数字资产。 所以说到底还是私钥有问题。

可怕的黑洞服务器拿着你的备用钥匙

很多人可能只是意识到私钥很重要，但是具体原因并不是很清楚。 在这里，火鸟财经小编就不得不为大家先从钱包说起。

首先，硬币不存储在钱包中。 钱包本质上只是私钥和地址的管理工具。 钱包可以加载区块链账本数据（比如记录所有Token的交易和转账），私钥也可以让你打开对应的地址。

也就是说，Token其实是“存储”在区块链账本中的，钱包只是加载账本数据。 所以即使你的钱包或电脑出了问题，也与你的币无关，只要记录Token交易和流通的区块链账本没有问题即可。

如果您使用的某个钱包出现问题，只要您没有忘记私钥、助记词、Keystore及相关密码，您随时可以在其他钱包下载一个钱包或选择导入钱包。

我们以 imToken 为例。 假设我之前用的是MGC钱包，现在想把这个钱包导入imToken。 怎么做？ 首先选择导入钱包，选择钱包类型（MGC是ERC20代币，所以选择以太坊钱包），然后根据你之前备份的数据选择导入方式，输入相应的数据。 下面有一个设置密码。 这个密码就是你转账时需要输入的密码（私钥对应的地址或者这个身份拥有的钱包）。

这样，就相当于给你的 imToken 钱包增加了一张新的银行卡。 此卡的使用不会影响钱包中的其他卡。 “没有‘被污染’这样的东西。” 郭涛解释道。

也就是说，只要你有私钥，你就可以随意在其他钱包中导入和使用该私钥对应地址上的资产。 MGC钱包用户的私钥由中心服务器签发，数据备份在服务器上。 因此，无论你把“小金库”转移（指挥）到哪里，别人总会有你的备用钥匙，随时可以开门。

有这样一个故事：用户在MGC钱包中生成助记词，然后将助记词导入到去中心化钱包中，然后用户正常使用钱包，充值了很多钱到钱包中。 某日，用户的钱包在去中心化钱包中被盗。 这时候，用户自信自己从来没有公开过助记词，却没想到助记词是MGC钱包给他的。

换句话说，如果钱包本身想要偷你的钱，它只是一个包。

询问钱包安全

“中心化钱包和去中心化钱包之间最根本的区别是谁拥有私钥。 如果私钥管理在用户手中，就是去中心化的钱包。 所有类似的钱包都是中心化钱包。” PeckShield漏洞研究总监罗元聪告诉火鸟财经，“但是对于钱包的安全性，不能简单的判断它是不是去中心化钱包。 如果钱包开发者恶意留下Backdoor，即使是去中心化钱包，私钥也会被盗，所有钱包资产都​​会丢失。”

这就引出了一个问题，如何判断一个钱包是否私自保留了用户的私钥和助记词？

“最重要的是看代码，比如我们的底层代码是开源的以太坊钱包能存哪些币，这是最有说服力的。” imToken 产品经理郭涛表示。

imToken公告称MGC钱包是中心化钱包，留有用户助记词，这是分析其代码得出的结论。

注意：这里显示的助记词是服务器创建的，然后发送给用户的。 也就是说，给你的助记词不仅你知道，MGC钱包的服务器也知道，因为助记词是服务器给你的。

不过，PeckShield 漏洞研究总监罗元聪也指出，“一般用户看不懂代码，钱包不一定会公开源代码。”

那么在钱包不开源的情况下如何选择呢？

“选择愿意公开源代码、经过安全公司审计的钱包是最推荐的。用户在选择钱包时一定要谨慎，建议选择大型钱包软件商。” 罗元从说道。

郭涛认为，理论上，如果没有开源，只能选择相信社区共识和产品定位，以及团队的可靠性。

火鸟财经小编在此提醒，钱包坑不要太多。 新手一定要小心，掌握钱包的基本知识，才能更好的保护自己的数字资产。 对于那些私钥被泄露但币没有被盗的用户，小编提醒大家尽快将资产转移到更安全的地址。

排版：杰西

火鸟财经原创