警惕 | LCS 錢包使用者請注意!

買賣虛擬貨幣

今天 imToken 安全團隊收到使用者郵件舉報,錢包中的 ETH 被惡意盜取。

我們第一時間對被盜錢包地址進行分析,並找到被盜共性 - 所有被盜地址均是使用 LCS 錢包建立的錢包地址。

為了進一步確定盜幣手法,我們搜尋了關於 LCS 錢包的相關資訊,也和被盜使用者取得聯絡,情況如下:

  1. 使用者下載使用 LCS 錢包生成助記詞或在 LCS 錢包中匯入助記詞;
  2. 在生成或匯入助記詞的過程中,助記詞被明文儲存在 LCS 錢包伺服器上,即 LCS 錢包是一款中心化錢包;
  3. 使用者將使用過 LCS 錢包的地址匯入 imToken 錢包或其他去中心化錢包,但助記詞仍儲存於 LCS 錢包伺服器中,存在隨時被盜的風險;
  4. 所有 LCS 被盜資產全部被有規律地轉移到一個盜幣地址。

imToken 安全團隊在這裡提醒 LCS 錢包使用者,請立即停止使用 LCS 錢包管理過(生成或匯入)的地址,在 imToken 中生成新的錢包地址,並將資產進行轉移。被盜幣的 LCS 受害使用者,請儘快前往當地公安機關報警。

---

以下是 imToken 安全團隊追查的相關資料:

  1. 盜幣地址為 0xeba337eeedf030f88a7b0066ec137638f9355189(此地址盜取的每筆 ETH 數額較小,目前仍有大量未打包交易)。
  2. 地址 0xeba337eeedf030f88a7b0066ec137638f9355189 在 17 小時內完成了 12000 多筆交易,而且目前仍有大量未打包的交易等待完成。可以推斷盜幣者掌握了幾萬個被盜錢包的私鑰,透過程式進行了違法的盜幣行為。
  3. 地址 0xeba337eeedf030f88a7b0066ec137638f9355189 共有 4 筆轉出的交易記錄,可以追蹤資產的最終流向,點選檢視交易記錄
  4. LCS 合約地址:0xe62e6e6c3b808faad3a54b226379466544d76ea4。
  5. LCS 錢包為一款中心化錢包,會儲存使用者的助記詞,並不像其所宣傳的是一款去中心化錢包。


LCS 錢包收集使用者私鑰助記詞【抓包分析】

簡單來說,如果你想了解某個錢包是否收集使用者的助記詞私鑰,可以透過抓包的方式,觀察錢包是否將私鑰助記詞透過明文或加密的方式傳至伺服器。

以 LCS 錢包為例:

  1. 透過下載安裝 LCS 錢包,開啟首頁是「匯入錢包」,我們將一個測試助記詞匯入進去,點選確認匯入。



  2. 在這個過程中,透過抓包分析可以觀察到該錢包,將助記詞上傳至該介面:portal-api-v3.lcs.world/user/importWallet



  3. 並且助記詞和密碼是直接明文傳至伺服器,目前服務端返回的結果是在升級,但是資料已經上傳至伺服器,所以測試的小夥伴,一定不要使用真實私鑰或助記詞測試。


由此可以判斷,LCS 錢包使用者的私鑰和助記詞,在一開始使用 LCS 錢包的時候,就完全洩漏出去了。

來源:imtoken錢包部落格,警惕 | LCS 錢包使用者請注意!

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读